Где соль хранится для password_hash?

Question

Согласно (относительно) новой PHP документации:

password_hash функция использует случайную соль (которую мы не должны беспокоиться о .. О_О), так что, если я правильно понимаю, что соль должна быть где-то хранить, иначе пользователю не сможет войти в систему после регистрации на веб-сайте (различная соль => различный хеш.)

Документация по функциям ничего не говорит о взаимодействии с БД, и поскольку я думаю, что сохранение данных для каждого пользователя является масштабируемым только с БД, где эта функция хранит случайную соль? A txt файл, такой как данные сеанса?

Answer 1

Давайте учиться, например, из того, что все остальные говорит вам:

$options = [ 
    'cost' => 11, 
    'salt' => 'abcdefghijklmnopqrstuv', 
]; 
echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT, $options)."\n"; 

Выход:

$ 2y $ $ ABCDEFGHIJKLMNOPQRSTU u7aZVUzfW85EB4mHER81Oudv/rT.rmWm

Жирные части - это ваши затраты и соль, соответственно встроенный в полученный хеш.

Вы можете выплюнуть это обратно в password_verify и он будет обрабатывать его соответствующим образом:

print_r(password_verify('rasmuslerdorf', '$2y$11$abcdefghijklmnopqrstuu7aZVUzfW85EB4mHER81Oudv/rT.rmWm')); // true 

Answer 2

password_hash manual В состоянии

Используемый алгоритм, стоимость и соль возвращается как часть хэш. Следовательно, вся информация, необходимая для проверки хэша, включает в себя . Это позволяет функции password_verify() проверить хэш без необходимости отдельного хранения для соли или алгоритма информации.

Поэтому соль уже включена в хэш, который вы храните в дБ.