PHP密码验证：_password_verify使用教程

本文深入解析了PHP中`password_verify()`函数的使用要点与常见陷阱，明确指出其返回`false`的绝大多数情况并非代码逻辑错误，而是密码原文或哈希值在存储、传输、读取过程中被意外截断、污染或处理（如混入不可见字符、误用`trim()`、参数顺序颠倒、算法不兼容等）；该函数具备自动识别哈希标识（如`$2y$`、`$argon2id$`）的能力，无需手动解析算法或盐值，兼容bcrypt和Argon2等多种哈希格式，且向后兼容性良好；真正的问题往往藏在数据流转的“前一环”——从数据库字段长度设置、编码转换到表单输入处理，都可能悄然破坏哈希完整性，因此调试时应优先验证数据本身而非修改验证逻辑。

password_verify() 验证失败的常见原因

直接说结论：password_verify() 返回 false，90% 不是函数写错了，而是密码原文或哈希值本身有问题。

它只做一件事：用明文密码 + 已存储的哈希字符串（含算法、盐、轮数），重算一次哈希，再比对。只要两边不完全一致，就返回 false。

• 哈希字符串被截断（比如数据库字段设成 VARCHAR(60)，但 bcrypt 哈希实际要 60 字符，argon2id 可能更长）
• 哈希字符串里混入了空格、换行、BOM 或不可见控制字符（尤其从表单/文件读取时）
• 密码原文在验证前被 trim()、strtolower() 等处理过，而当初 hash 时没这么干
• 用了 password_hash() 的默认算法（目前是 bcrypt），但旧系统存的是 md5 或 sha1 —— password_verify() 完全不认这些

password_verify() 的参数顺序不能反

函数签名是 password_verify(string $password, string $hash): bool，第一个是用户输入的明文密码，第二个是数据库里存的完整哈希字符串。

顺序反了不会报错，但一定返回 false —— 因为 PHP 会尝试把哈希当密码、把明文当哈希去解析，而明文显然不含 $2y$ 或 $argon2id$ 这类标识头。

• 错误写法：password_verify($hash_from_db, $user_input)
• 正确写法：password_verify($user_input, $hash_from_db)
• 建议变量命名带提示，比如叫 $plain_password 和 $stored_hash，别用 $pwd 和 $str

验证前不需要知道用了哪种算法

password_verify() 能自动识别哈希字符串开头的标识，比如 $2y$（bcrypt）、$argon2id$（Argon2），并调用对应逻辑。你不用手动判断或分支处理。

这意味着：只要哈希是用 password_hash() 生成的（且没被破坏），无论当年用的是 PASSWORD_DEFAULT 还是显式指定 PASSWORD_ARGON2ID，现在都能验。

• 兼容性没问题：PHP 7.2+ 支持 argon2，7.0+ 支持 bcrypt；老哈希在新 PHP 上照常能验
• 但注意：PASSWORD_DEFAULT 未来可能变，默认算法升级后，旧密码仍可验，新密码会用新算法生成
• 不要自己 parse $hash 去提取 salt 或 cost —— password_verify() 内部全做了，也禁止外部干预

验证失败时别急着改代码，先检查数据流

最常被忽略的环节是：哈希根本没存进数据库，或者读出来的时候就被截断、转义、编码转换污染了。

加一行调试输出，比反复改逻辑有用得多：

var_dump([
    'input' => $user_password,
    'hash_length' => strlen($stored_hash),
    'hash_preview' => substr($stored_hash, 0, 20),
    'hash_valid' => password_verify($user_password, $stored_hash)
]);

• 看 hash_length：bcrypt 应该是 60，argon2id 通常 ≥ 90；少于 60 基本就是字段太短
• 看 hash_preview：开头是不是 $2y$ 或 $argon2id$？如果不是，说明存进去的就是错的
• 确认数据库连接没启用 magic_quotes 类老古董配置，也没对字段做自动 utf8mb4 截断

真正卡住的地方，往往不在 password_verify() 本身，而在它拿到的数据之前那一小段路。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《PHP密码验证：_password_verify使用教程》文章吧，也可关注golang学习网公众号了解相关技术文章。