PHP password_verify() 函数（超详细）

💡一则或许对你有用的小广告

欢迎加入小哈的星球 ，你将获得：专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

• 新项目:《从零手撸：仿小红书（微服务架构）》 正在持续爆肝中，基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...，点击查看项目介绍 ;
• 《从零手撸：前后端分离博客项目（全栈开发）》 2 期已完结，演示链接： http://116.62.199.48/ ;

截止目前， 星球 内专栏累计输出 82w+ 字，讲解图 3441+ 张，还在持续爆肝中.. 后续还会上新更多项目，目标是将 Java 领域典型的项目都整一波，如秒杀系统, 在线商城, IM 即时通讯，权限管理，Spring Cloud Alibaba 微服务等等，已有 2900+ 小伙伴加入学习 ，欢迎点击围观

前言：密码安全的重要性

在互联网应用中，用户密码的安全性是保护用户隐私和数据的核心防线。然而，许多开发者在密码处理环节容易犯低级错误，例如直接存储明文密码或使用不安全的哈希算法。PHP 提供的 password_verify() 函数，正是为了解决这一问题而设计的现代密码验证工具。本文将从基础概念到实际案例，系统讲解这一函数的使用方法和背后的安全原理。

什么是密码哈希与验证？

密码哈希（Password Hashing）是指将用户输入的明文密码通过算法转换为固定长度的字符串（哈希值），并将其存储在数据库中。当用户登录时，系统通过 password_verify() 函数将输入的密码重新哈希，再与存储的哈希值对比，从而验证密码是否正确。

为什么不能直接存储明文密码？

假设一个网站的数据库被黑客攻破，如果密码以明文形式存储，用户的所有账户信息将立即暴露。例如，用户 alice@example.com 的密码可能是 123456，这会直接导致其在其他平台的账户也被攻击。因此，密码哈希是保护用户数据的必要步骤。

password_verify() 函数的基础用法

函数定义与参数说明

password_verify() 是 PHP 内置的密码验证函数，其语法如下：

bool password_verify( string $password, string $hash )  

• 参数 1 ($password)：用户输入的明文密码。
• 参数 2 ($hash)：存储在数据库中的密码哈希值。
• 返回值：若密码匹配哈希值，返回 true；否则返回 false。

与 password_hash() 的协同工作

password_verify() 总是需要与 password_hash() 配合使用。例如：

// 注册时：将密码哈希后存储  
$password = "SecurePass123!";  
$hashed_password = password_hash($password, PASSWORD_DEFAULT);  
// 存储到数据库  

// 登录时：验证密码  
$entered_password = $_POST['password'];  
$stored_hash = "从数据库获取的哈希值";  
if (password_verify($entered_password, $stored_hash)) {  
    echo "登录成功！";  
} else {  
    echo "密码错误！";  
}  

password_verify() 的工作原理

内部机制：哈希算法与盐值

password_hash() 和 password_verify() 使用 bcrypt 算法（默认）或其他现代算法（如 PASSWORD_ARGON2I）。其核心原理是：

1. 盐值（Salt）：每次哈希时随机生成唯一字符串，防止彩虹表攻击。
2. 迭代计算：通过多次哈希运算（如 bcrypt 的 cost 参数）增加计算难度，延缓破解速度。
3. 不可逆性：哈希过程是单向的，无法通过哈希值反推原始密码。

比喻：盐值就像一道独特的锁，而哈希过程是锁匠用这把锁将密码“封存”。即使两个用户使用相同的密码，他们的哈希值也会因盐值不同而完全不同。

实际案例：用户登录系统的完整流程

场景描述

假设我们要构建一个简单的用户登录系统，包含以下步骤：

1. 用户注册时，将密码哈希后存储。
2. 用户登录时，输入密码后通过 password_verify() 验证。

完整代码示例

<?php  
// 1. 注册功能  
if ($_SERVER["REQUEST_METHOD"] == "POST") {  
    $username = $_POST['username'];  
    $raw_password = $_POST['password'];  

    // 哈希密码并存储（此处需连接数据库）  
    $hashed_password = password_hash($raw_password, PASSWORD_DEFAULT);  
    // 假设数据库操作成功，跳转登录页  
}  

// 2. 登录功能  
if ($_SERVER["REQUEST_METHOD"] == "POST") {  
    $username = $_POST['username'];  
    // 从数据库查询该用户的哈希密码  
    $stored_hash = "从数据库获取的哈希值（例如：$2y$10$e6...）";  

    $entered_password = $_POST['password'];  
    if (password_verify($entered_password, $stored_hash)) {  
        session_start();  
        $_SESSION['user'] = $username;  
        header("Location: dashboard.php");  
    } else {  
        echo "密码错误！";  
    }  
}  
?>  

<!-- 登录表单 HTML -->  
<form method="post">  
    用户名：<input type="text" name="username"><br>  
    密码：<input type="password" name="password"><br>  
    <input type="submit" value="登录">  
</form>  

常见问题与最佳实践

问题 1：为何不能自己编写加密函数？

许多开发者尝试用 md5() 或 sha1() 自行加密密码，但这些算法存在以下缺陷：

• 易破解：计算速度快，容易被暴力破解。
• 无盐值：相同密码生成相同哈希，彩虹表攻击风险高。
• 过时标准：未遵循现代密码安全规范。

解决方案：始终使用 PHP 内置的 password_hash() 和 password_verify() 函数。

问题 2：如何处理密码过期或升级哈希算法？

当算法版本更新（如从 bcrypt 升级到 argon2）时，可以通过以下步骤：

1. 用户登录时，检查哈希值的算法标识（如 $2y$ 表示 bcrypt）。
2. 若旧算法被弃用，重新哈希密码并更新数据库。

示例代码片段：

if (password_needs_rehash($stored_hash, PASSWORD_DEFAULT)) {  
    $new_hash = password_hash($entered_password, PASSWORD_DEFAULT);  
    // 更新数据库中的哈希值  
}  

进阶技巧：增强系统安全性

1. 控制密码复杂度

通过前端或后端验证密码强度，例如要求：

• 至少 8 个字符
• 包含数字、大小写字母和特殊符号

2. 限制登录尝试次数

防止暴力破解，可通过记录登录失败次数，暂时锁定账户。

3. 使用 HTTPS 传输密码

确保密码在网络传输过程中被加密，避免中间人攻击。

结论：构建安全的密码验证系统

通过 password_verify() 函数和配套的 password_hash()，开发者可以轻松实现符合行业标准的密码验证机制。本文通过代码示例和原理讲解，帮助读者理解：

• 如何正确存储和验证密码
• 现代哈希算法的核心优势
• 常见安全风险及应对策略

记住，密码安全是系统安全的基石。始终采用 PHP 推荐的密码处理函数，并结合其他安全措施（如 HTTPS、登录限制），为用户提供可靠的数据保护。

通过本文的学习，开发者可以快速掌握 PHP password_verify() 函数的使用方法，并在实际项目中构建安全的密码验证流程。