blowfishを用いたパスワードのhash化手順
注意点1
・PASSWORD_DEFAULT()
はデフォルトのアルゴリズムを使ってパスワードをハッシュする。
現時点でのデフォルトは BCRYPT で、その結果は 60 文字になる。
デフォルトは今後変わる可能性があるのでデータベースの文字制限は
結果が60文字以上になっても対応できるようにしておく(255あたり)
注意点2
・password_hash()はPHP 5.5 以降で利用可能
※crypt()はPHP5.3以降で利用可能
注意点3
password_hash()で72文字(バイト)より長いパスワードを許可する場合には注意が必要。この対策を行うとpassword_hash()をPASSWORD_DEFAULTで利用していても、常に同じハッシュ関数で予めハッシュしておかなければならなくなる。対策としては「72文字より長いパスワードの設定を許可しない」にする。
Conobieでは60文字