PHP的password_hash行为（）

Question

我一直在寻找加密密码以便与我的面板一起使用的最佳方式，我决定继续使用BCRYPT，只是由于每次加密的成本以及它一般被认为是目前最好的一种。

我使用的是双向盐，所以每个用户都有一个独特的盐，然后显然存储在我的应用程序中的盐，我注意到一些相当奇怪的行为..根据PHP文档，这种行为是正常的？

总之，这里是我的代码使用方法：

$Crypto = new Crypto; 
echo $Crypto->encrypt("123456789abcdefghijklm", "StackOverflow_Is_Awesome!"); // First parameter being the "User Salt", second being the password. 

// Above outputs $2y$13$123456789abcdefghijkleepFY8JLvsf2YbnWolqQyO3DIzrCeNIu 

而现在，加密等级：

<?php 
// ASSUMING $this->hashingSalt = HBSNi3y7ruhbVGkhdg83ijdbvghiojkgudL;JP 
class Crypto { 

private $hashingSalt, $database; 

public function __construct($salt) 
{ 
    $this->hashingSalt = $salt; 
    $this->database = new DatabaseFunctions(); 
} 

public function encrypt($salt, $password) 
{ 
    $options = array(
     'cost' => 13, 
     'salt' => $salt //22 chars 
    ); 

    return password_hash($password . $this->hashingSalt, PASSWORD_BCRYPT, $options); 
} 
} 

所以，我关心的是，为什么在地球上是此功能只添加盐在选项中设置输出字符串的开始？它真的很莫名其妙...因为这不是我所说的安全，而是将对象击败给我。

任何人都可以建议，尝试和解释我完全看过去？由于

PHP文件：http://php.net/manual/en/function.password-hash.php

Answer 1

的盐，以防止有制作与哈希预先计算的表的可能性，这并不意味着保持安全，一旦“坏人”的哈希得到他们的手。

而且你在做什么：

，然后明显盐储存在我的应用程序

被称为辣椒（是真的不那么明显的），所以据我所知这不是招”内被证明是更安全的。欲了解更多信息，请阅读我这篇文章（也是由密码API的作者）：http://blog.ircmaxell.com/2012/04/properly-salting-passwords-case-against.html

另外请注意，你的方法被称为encrypt不加密任何东西。加密是两种方式。你在做什么叫做哈希：https://stackoverflow.com/a/4948393/508666