Devo necessariamente definire il "costo" per password_hash() ?
C'è un valore predefinito per il costo?
So che usare il sale personalizzato con password_hash() non è raccomandato.
Quanto tempo ci vuole per hash con password_hash() da solo E quanto tempo per password_hash() con bcrypt?
In base alla documentazione per password_hash() , il costo predefinito è 10. Sulla mia macchina ci vogliono circa 60 ms per calcolare. Meglio di una funzione di hash non adattiva (penso semplice SHA1 o MD5), preferirei che sia più vicino a 500-800ms (costo 13 sulla mia macchina). La raccomandazione generale che faccio è di eseguire alcune misurazioni sui server di produzione e impostare il costo in base a ciò che ritieni di poter gestire in modo ragionevole senza incidere troppo sulla UX.