我们已经介绍并讨论了哈希密码的重要性。要创建强哈希密码，我们必须了解与之相关的一些术语，然后将通过PHP的示例了解如何创建强盐哈希密码。

什么是加密哈希函数?
密码哈希函数是一类特殊的哈希函数，具有某些属性，使其适合用于密码学。它是一种数学算法，可将任意大小的数据映射到固定大小的位字符串(哈希函数)，该字符串还被设计为单向函数，即，一种不可逆的函数(来源：Wiki )。

如果您曾经看过登录代码，则很有可能看到开发人员使用hash(’sha256’，$ password)甚至是md5($ password)来“保护”用户密码。用这种方式生成的密码哈希很容易破解。由于算法较弱，而且在某些地方也不会加盐或拉伸，因此您几乎会将密码提供给获得访问权限的攻击者。

• MD5最初被设计为用作加密哈希函数，但发现它具有广泛的漏洞(Source Wiki)。
• SHA-1不再被认为能对付资金雄厚的对手。在2005年，密码分析家发现了对SHA-1的攻击，这表明该算法可能不够安全，无法持续使用[来源：Wiki]。
• SHA-2是SHA1的后继产品，目前不常用，它收集了4种哈希函数：SHA224，SHA256，SHA384和SHA512。它的工作方式与SHA1相同，但功能更强大，并生成更长的哈希。
• BlowFish是一种对称密钥分组密码，包含在许多密码套件和加密产品中。 Blowfish在软件中提供了良好的加密率，迄今为止尚未发现对其进行有效的加密分析。

什么是盐腌?
盐是随机数据，用作“哈希”密码或密码短语的单向函数的附加输入。为了给密码加盐，我们在哈希之前向其添加一些随机字符，以便每次对同一密码进行哈希处理时，同一密码将产生唯一的字符串，从而消除了彩虹表攻击，并有必要单独破解每个密码。盐通常与哈希一起存储，并且在根据哈希检查密码时必须使用盐。

PHP函数Salts ， stretch和default中的password_hash()默认选择在执行时使用的最佳哈希算法，这意味着我们不必担心选择算法，甚至不必更新代码以使用更强大的算法即可。时间在流逝–如果有更好的算法可用，该函数将开始将其用于新的哈希。

这是如何使用此函数的示例：

散列以算法信息，成本和22个字母数字的盐字符开头，其后为散列密码：

$2y$10$Ka3/TxAu3UrGX4E8suGkKO4V43dK9CcF.BTT5P8OzOO7/PRjqFn0a
$2y$10$6kf8iQDut0i7AOx2TULi1O9I5yxdSfX/T7HRy2KbMmliaYo4fLR.i
$2y$10$fPEY1vxgP15wwpfPdA22WOhkMqvmLsZtfzn9sr3rCw2V4N1tbEyle
$2y$10$878u5R1q8tP3karLHwBbAOfax8ybPt43U3F6lG9oOV5w9yfj/k1cq

这就是在PHP生成和验证合理安全的密码所需的全部工作。在撰写本文时，Blowfish是默认的最佳算法，并且会生成60个字符的哈希，但是，如PHP手册页所述(参考)，创建长度为255个字符的密码数据库字段可能不是一个好主意。允许将来进行算法扩展以进行安全编码。

资料来源：
https://zh.wikipedia.org/wiki/盐_(密码学)
http：// PHP.net / manual / en /函数.password-hash.phphttp：//stackoverflow.com/questions/30279321/how-to-use-password-hashhttps：//en.wikipedia.org/wiki/ Cryptographic_hash_function
https://www.sitepoint.com/hashing-passwords-php-5-5-password-hashing-api/