密码错误却通过认证？

password_hash() 哈希密码的可靠性

当使用 password_hash() 函数对密码进行哈希并存储在数据库时，您可能会遇到这种困惑：明明输入的密码不正确，但用户还是通过了认证。这是怎么回事呢？

首先，password_hash() 函数在默认情况下使用 bcrypt 算法进行哈希。bcrypt 算法是一种强大的单向散列算法，难以通过彩虹表或蛮力破解。因此，通过 password_hash() 生成的密码散列通常被认为是可靠的。

那么，为什么会出现明明输入密码不正确，却通过了认证的情况呢？这与 password_hash() 函数本身无关，而是与您实现的业务逻辑有关。以下是可能的原因：

因此，如果您遇到了密码错误但仍然通过认证的情况，建议仔细检查您的业务逻辑，确保验证密码的代码是正确的。同时，检查哈希值在数据库中的存储方式，并排查是否存在任何并发问题。