Password Hashing函数在 PHP 5.5 时被引入，这边主要讲讲password_hash加密函数、password_verify验证函数以及和md5加密的区别。

password_hash加密

password_hash() 使用足够强度的单向散列算法创建密码的散列（hash）。

password_hash(string $password, mixed $algo, array $options = ?): string|false

有3个参数：密码（必须），哈希算法（必须），选项（选填）

$pwd = '123456';
$hash = password_hash($pwd, PASSWORD_DEFAULT);
echo $hash;

输出hash字符串：$2y$10$H7KD.QWJyY68zeKJXTHoW.zH9ZC69zlXALRBtN8BfiKQkk9YolQum

并不是唯一的hash字符串，通过刷新网页，可以输出不同的hash，也就是1个密码会出现不同的hash加密字符串。

password_verify验证

password_verify()验证密码是否和指定的散列值匹配。

password_verify(string $password, string $hash): bool

有2个参数：密码（必须），哈希值（必须）

$pwd = '123456';
$hash = '$2y$10$H7KD.QWJyY68zeKJXTHoW.zH9ZC69zlXALRBtN8BfiKQkk9YolQum';
$result = password_verify($pwd,$hash);
var_dump($result);

输出bool(true)

MD5加密

使用《RSA 数据安全公司的 MD5 消息摘要算法》计算 string 的 MD5 散列值，并返回该散列值

md5(string $string, bool $binary = false): string

由于此函数依赖的算法已不足够复杂,不推荐使用此函数对明文密码加密。所以一般使用md5（password+salt）来计算md5值。

$pwd = '123456';
$md5 = md5($pwd);
echo $md5;

输出md5字符串：e10adc3949ba59abbe56e057f20f883e

多次刷新网页保持这个字符串不变，由于网上直接加密的可以直接通过字典输出原始密码，导致非常不安全。

$pwd = '123456';
$salt = '77bx';
$md5 = md5($pwd.$salt);
echo $md5;

输出md5字符串：caef045fe88f8efa2cf0b85cb91bad4d

加密性能测试

对比md5加密、md5+salt加密、password_hash加密和password_verify验证性能。

本次测试采用虚拟化

CPU：Intel Xeon Gold 6161 2.2GHz 2核4线程

内存：16GB

PHP：7.4

重复计算10次，取平均值得出以下截图结果

结论：

1、不建议使用password_hash和password_verify进行加密和验证，毕竟和md5+salt也有5万倍以上的性能差距。

2、建议使用md5+盐值的方式，毕竟1ms以下的时间对于性能来说影响不大。

3、安全性虽然password_hash比较安全，但是md5+salt的方式也是相对比较安全的。