Что теперь юзать вместо соли? password_hash

Уважаемый @qwabra хотел сказать, что надо использовать password_verify для проверки соответствия хеша паролю, а не обычное "==".

Суть в том, что один и тот-же пароль, может генерировать с разной солью, причем одинаковой так-таковой не будет, так-как, используется привязка к времени.

function password($password, $hash = '') {
    if ($hash) {
        return password_verify($password, $hash);
    } else if ($password) {
        return password_hash($password, PASSWORD_BCRYPT, [
            'cost' => 11
        ]);
    }
}
$password = 'password';
$hashs = [];
for ($i = 0; $i < 3;  ++$i) {
    $hashs[] = password($password);
}
var_dump($hashs);

Вывод (всегда будет разным):

array(3) {
  [0]=>
  string(60) "$2y$11$U.pByOtimdolMwM0ltXYvO3lM/ottr0W5qGLcYHhGdL1ql1OndtEC"
  [1]=>
  string(60) "$2y$11$ZnmQz1hiZkvpdO5RXM5qCeY9N8LVgt5b6ONGBGfr4ZQxmd5WTdGDW"
  [2]=>
  string(60) "$2y$11$I5p4vJScXYgea1invjg3F..4zC.5xNSqbflNTS/RxfpyFJ2lUZ/8W"
}

Проверяем:

foreach($hashs as $hash) {
    var_dump(password($password, $hash));
}

Вывод:

bool(true)
bool(true)
bool(true)

Это значит. что все 3 хеша равны password.