Недавно я пытался реализовать свою собственную безопасность в сценарии входа в систему, на который я наткнулся в Интернете. После попыток узнать, как создать собственный скрипт для генерации соли для каждого пользователя, я наткнулся на password_hash.

Из того, что я понимаю (основываясь на чтении на этой странице:http://php.net/manual/en/faq.passwords.php), соль уже генерируется в строке при использовании password_hash. Это правда?

Другой вопрос, который у меня возник, был, не было бы разумно иметь 2 соли? Один прямо в файле и один в БД? Таким образом, если кто-то скомпрометирует вашу соль в БД, у вас все еще будет та, которая находится прямо в файле? Я читал здесь, что хранение соли никогда не было разумной идеей, но меня всегда смущало, что люди имеют в виду под этим.