Laravel 默认用 bcrypt 而不是 md5 或 sha256，因其是慢哈希、带随机盐、可调 cost 因子（默认12，耗时约100ms），能有效抵御暴力破解；验证必须用 Hash::check()，它底层调用 password_verify() 自动提取盐和 cost 并比对。

为什么 Laravel 默认用 bcrypt 而不是 md5 或 sha256？

因为 md5 和 sha256 是快速哈希，攻击者能用 GPU 每秒跑上亿次碰撞；而 bcrypt 是故意设计成慢的、带盐的、且可调成本因子（cost）的哈希算法。Laravel 的 Hash::make() 底层调用 PHP 的 password_hash($password, PASSWORD_BCRYPT)，默认 cost=12，意味着单次哈希耗时约 100ms，极大拖慢暴力破解速度。

• bcrypt 每次生成的哈希字符串都不同（即使密码相同），因为内部自动生成随机盐并混入结果
• 哈希结果形如 $2y$12$XzKqJZv7Q9nRtS8pWmLcOeFgHiJkLmNoPqRsTuVwXyZaBcDeFgHiJ，前缀 $2y$ 表示 bcrypt 版本，12 是 cost 值
• 不要自己拼接盐或用 hash('sha256', $password . $salt) —— 这不等价于 bcrypt，也绕过了 PHP 密码哈希 API 的安全加固

Laravel 中验证密码是否匹配用的是哪个函数？

必须用 Hash::check()，而不是手动比对哈希值。因为 bcrypt 哈希本身不可逆，且每次生成结果不同，只能靠 PHP 内置的 password_verify() 来比对明文和哈希。

if (Hash::check($request->password, $user->password)) {
    // 登录成功
}

• $user->password 是数据库里存的完整 bcrypt 字符串（含 salt 和 cost）
• Hash::check() 底层调用 password_verify()，它会自动提取盐和 cost 参数，再用相同参数重新哈希明文并比对
• 切勿写 $request->password === $user->password 或用 ==，这永远为 false

如何调整 bcrypt 的 cost 值以平衡安全与性能？

cost 值每 +1，计算耗时约翻倍。Laravel 8+ 允许在 config/hashing.php 中配置：

'bcrypt' => [
    'rounds' => 12,
],

• 开发环境可设为 10（更快），生产环境建议保持 12 或谨慎升到 13
• 升到 14 后单次哈希可能超 400ms，在高并发登录接口中易引发延迟堆积
• 已有用户密码不会自动重哈希 —— 只有下次调用 Hash::make()（比如改密码）才会用新 cost

能不能把 bcrypt 哈希值直接存进数据库字段？字段长度要设多长？

可以，但字段类型必须是 varchar(255)。因为完整 bcrypt 哈希固定长度为 60 字符，但未来若切换算法（如 argon2id），长度会变长；Laravel 官方迁移模板也统一用 string('password')，背后就是 varchar(255)。

• 别用 char(60) —— 看似精确，但失去扩展性，且部分数据库对 char 末尾空格处理不一致
• 别用 text —— 无必要，且某些 ORM 或索引策略对 text 有限制
• 如果用了 Auth::attempt()，框架已自动调用 Hash::check()，你只需确保字段存的是原始哈希字符串，别额外 base64 或 hex 编码

# php  # word  # laravel  # go  # 编码  # 开发环境  # cos  # 为什么  # String  # 字符串  # char  # 接口  # 堆  # 并发  # 算法  # 数据库  # 的是  # 比对  # 可调  # 而不是  # 或用  # 已有  # 只需  # 设为  # 翻倍  # 用了 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何实现一对一模型关联？（Eloquent示例）  如何在沈阳梯子盘古建站优化SEO排名与功能模块？  利用JavaScript实现拖拽改变元素大小  ChatGPT怎么生成Excel公式_ChatGPT公式生成方法【指南】  ,交易猫的商品怎么发布到网站上去？  Laravel API资源类怎么用_Laravel API Resource数据转换  在centOS 7安装mysql 5.7的详细教程  HTML5段落标签p和br怎么选_文本排版常用标签对比【解答】  php在windows下怎么调试_phpwindows环境调试操作说明【操作】  Laravel观察者模式如何使用_Laravel Model Observer配置  如何在 Go 中优雅地映射具有动态字段的 JSON 对象到结构体  家族网站制作贴纸教程视频,用豆子做粘帖画怎么制作？  Laravel如何实现全文搜索_Laravel Scout集成Algolia或Meilisearch教程  Win11怎么查看显卡温度 Win11任务管理器查看GPU温度【技巧】  如何快速搭建FTP站点实现文件共享？  千问怎样用提示词获取健康建议_千问健康类提示词注意事项【指南】  Laravel中Service Container是做什么的_Laravel服务容器与依赖注入核心概念解析  JavaScript模板引擎Template.js使用详解  Laravel怎么配置不同环境的数据库_Laravel本地测试与生产环境动态切换【方法】  phpredis提高消息队列的实时性方法(推荐)  如何用AI帮你把自己的生活经历写成一个有趣的故事？  Laravel如何设置定时任务（Cron Job）_Laravel调度器与任务计划配置  php中::能调用final静态方法吗_final修饰静态方法调用规则【解答】  专业企业网站设计制作公司,如何理解商贸企业的统一配送和分销网络建设？  Android中AutoCompleteTextView自动提示  Laravel如何实现用户角色和权限系统_Laravel角色权限管理机制  Laravel怎么实现前端Toast弹窗提示_Laravel Session闪存数据Flash传递给前端【方法】  BootStrap整体框架之基础布局组件  大型企业网站制作流程,做网站需要注册公司吗？  惠州网站建设制作推广,惠州市华视达文化传媒有限公司怎么样？  高端建站三要素：定制模板、企业官网与响应式设计优化  Laravel策略(Policy)如何控制权限_Laravel Gates与Policies实现用户授权  Bootstrap整体框架之CSS12栅格系统  Laravel DB事务怎么使用_Laravel数据库事务回滚操作  如何在腾讯云服务器上快速搭建个人网站？  Laravel怎么进行数据库回滚_Laravel Migration数据库版本控制与回滚操作  高配服务器限时抢购：企业级配置与回收服务一站式优惠方案  三星网站视频制作教程下载,三星w23网页如何全屏？  Claude怎样写约束型提示词_Claude约束提示词写法【教程】  企业在线网站设计制作流程,想建设一个属于自己的企业网站，该如何去做？  怎么制作网站设计模板图片,有电商商品详情页面的免费模板素材网站推荐吗？  如何用y主机助手快速搭建网站？  香港服务器选型指南：免备案配置与高效建站方案解析  深圳网站制作培训,深圳哪些招聘网站比较好？  JavaScript中如何操作剪贴板_ClipboardAPI怎么用  如何快速搭建高效服务器建站系统？  Laravel如何理解并使用服务容器（Service Container）_Laravel依赖注入与容器绑定说明  Laravel任务队列怎么用_Laravel Queues异步处理任务提升应用性能  Laravel软删除怎么实现_Laravel Eloquent SoftDeletes功能使用教程  湖南网站制作公司,湖南上善若水科技有限公司做什么的？