【PHP8.x】PASSWORD_BCRYPT定数の使い方

PASSWORD_BCRYPT定数の使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年03月16日

基本的な使い方

PASSWORD_BCRYPT定数は、PHPでパスワードをハッシュ化する際に使用される、bcryptアルゴリズムを表す定数です。この定数をpassword_hash()関数に指定することで、ユーザーのパスワードがbcryptアルゴリズムを用いて安全にハッシュ化されます。bcryptは、特にパスワードのストレージに適した強力なハッシュ関数の一つで、意図的にCPUの計算コストを高く設計している点が大きな特徴です。これにより、パスワードを総当たりで解読しようとするブルートフォース攻撃や、辞書攻撃に対する耐性が大幅に向上します。

この定数を使用する際には、password_hash()関数は自動的に適切なソルト（ハッシュをよりユニークにするためのランダムな文字列）を生成し、適切な計算コストを適用します。開発者はオプションで計算コストを明示的に指定することも可能であり、将来的なハードウェアの性能向上に合わせてセキュリティレベルを柔軟に調整できるという利点があります。

PHP 8では、このbcryptアルゴリズムがpassword_hash()関数のデフォルトアルゴリズムとして推奨されており、安全なパスワード管理を実現するための非常に重要な要素です。システム開発において、ユーザーのパスワードをデータベースに保存する際には、セキュリティ上の観点から平文ではなく、必ずハッシュ化して保存することが基本原則です。PASSWORD_BCRYPT定数は、その原則を強力にサポートし、信頼性の高いパスワードセキュリティを実装するための最良の選択肢の一つとして広く利用されています。

構文(syntax)


1password_hash("your_secret_password", PASSWORD_BCRYPT);

引数(parameters)

引数なし

引数はありません

戻り値(return)

戻り値なし

戻り値はありません

サンプルコード

PHP BCRYPTパスワードハッシュ化と検証する


1<?php
2
3/**
4 * セキュリティを考慮したパスワードのハッシュ化と検証のデモンストレーションを行います。
5 *
6 * この関数は、入力された平文のパスワードを PASSWORD_BCRYPT アルゴリズムでハッシュ化し、
7 * その後、同じ平文パスワードと、意図的に異なるパスワードの両方でハッシュ値を検証する
8 * 一連の流れを示します。これは、Webアプリケーションにおけるユーザー認証の基本的な
9 * パスワード処理に相当します。
10 *
11 * @param string $plainTextPassword 処理する平文のパスワード。
12 * @return void 標準出力にハッシュ化と検証の結果を出力します。
13 */
14function demonstrateBcryptPasswordHashing(string $plainTextPassword): void
15{
16    echo "--- パスワードハッシュ化と検証のデモンストレーション ---" . PHP_EOL;
17    echo "元の平文パスワード: " . $plainTextPassword . PHP_EOL . PHP_EOL;
18
19    // 1. パスワードをBCRYPTアルゴリズムでハッシュ化
20    // PASSWORD_BCRYPT は、現在推奨されている堅牢なハッシュアルゴリズムです。
21    // password_hash() は、毎回異なるソルトを自動的に生成し、ハッシュ値に埋め込みます。
22    $hashedPassword = password_hash($plainTextPassword, PASSWORD_BCRYPT);
23
24    echo "BCRYPTでハッシュ化されたパスワード: " . $hashedPassword . PHP_EOL . PHP_EOL;
25
26    // 2. ハッシュ化されたパスワードの検証
27    // 通常、Webアプリケーションでは、データベースに保存されたハッシュ値と
28    // ユーザーがログイン時に入力したパスワードを password_verify() で比較します。
29
30    // 正しいパスワードで検証する例
31    echo "【検証1: 正しいパスワードで検証】" . PHP_EOL;
32    if (password_verify($plainTextPassword, $hashedPassword)) {
33        echo "-> 検証成功: パスワードは一致します。" . PHP_EOL;
34    } else {
35        echo "-> 検証失敗: パスワードは一致しません。" . PHP_EOL;
36    }
37    echo PHP_EOL;
38
39    // 間違ったパスワードで検証する例
40    $incorrectPassword = "WrongPassword123!";
41    echo "【検証2: 間違ったパスワード ('" . $incorrectPassword . "') で検証】" . PHP_EOL;
42    if (password_verify($incorrectPassword, $hashedPassword)) {
43        echo "-> 検証成功: パスワードは一致します。" . PHP_EOL;
44    } else {
45        echo "-> 検証失敗: パスワードは一致しません。" . PHP_EOL;
46    }
47    echo PHP_EOL;
48}
49
50// サンプルとして使用するパスワード
51$userProvidedPassword = "MySuperSecretPassword#2024";
52
53// 関数を実行して、パスワードのハッシュ化と検証プロセスを確認
54demonstrateBcryptPasswordHashing($userProvidedPassword);
55

PHPのサンプルコードは、ユーザーのパスワードを安全に扱うための「ハッシュ化」と「検証」のプロセスを示しています。ここで中心となるのが、PHP 8で推奨されるパスワードハッシュアルゴリズムを指す定数PASSWORD_BCRYPTです。この定数自体には引数や戻り値はありませんが、password_hash()関数の第二引数に指定することで、堅牢なBCRYPTアルゴリズムを用いてパスワードを不可逆なハッシュ値に変換するために使用されます。

demonstrateBcryptPasswordHashing関数は、引数としてユーザーが入力した平文のパスワードを受け取ります。この関数は、受け取ったパスワードをPASSWORD_BCRYPTを使ってハッシュ化し、その結果を表示します。password_hash()関数は、毎回異なる「ソルト」と呼ばれるランダムな値を自動的に生成し、ハッシュ値に含めるため、同じパスワードでも常に異なるハッシュ値が生成され、安全性が向上します。

次に、このハッシュ化されたパスワードが、入力された平文のパスワードと一致するかどうかをpassword_verify()関数で検証します。この関数は、ハッシュ値からソルトを抽出し、入力された平文パスワードを同じアルゴリズムでハッシュ化して比較するため、元のパスワードを知ることなく安全に検証が可能です。サンプルコードでは、正しいパスワードと意図的に間違ったパスワードの両方で検証を行い、その結果を標準出力に示します。この関数自体は戻り値を持たず、処理結果を画面に出力するものです。この一連の処理は、Webアプリケーションでのユーザー登録やログイン認証など、パスワードを安全に扱うための基本的な方法を示しています。

このサンプルコードはパスワードの安全なハッシュ化と検証の方法を示していますが、実際のシステム開発では平文のパスワードをデータベースに保存してはいけません。必ずpassword_hash()でハッシュ化した値のみをデータベースに保存してください。password_hash()は同じ平文パスワードから毎回異なるハッシュ値を生成しますが、これはセキュリティ強化のためにソルトと呼ばれるランダムな値が自動的に付加されるためです。ハッシュ化されたパスワードの検証には、必ずpassword_verify()関数を使用してください。この関数を使うことで、データベースに保存されたハッシュ値とユーザーが入力したパスワードを安全に比較できます。PASSWORD_BCRYPTは現在推奨される堅牢なアルゴリズムであり、パスワードに対する総当たり攻撃を困難にするよう意図的に処理が遅くなるように設計されています。

PHPでパスワードをbcryptでハッシュ化・検証する


1<?php
2
3/**
4 * 指定されたパスワードを bcrypt でハッシュ化し、その後検証するデモンストレーション関数。
5 *
6 * この関数は、PHPで推奨されるパスワードハッシュ化関数 `password_hash()` と
7 * その検証関数 `password_verify()` の基本的な使い方を示します。
8 * `PASSWORD_BCRYPT` は、現在PHPで広く利用され推奨されているハッシュアルゴリズムの一つです。
9 * `password_hash()` は、ソルトの自動生成やハッシュコストの管理など、
10 * 安全なパスワードハッシュ化に必要な要素を開発者が意識することなく提供します。
11 *
12 * @param string $plainPassword ハッシュ化するプレーンテキストのパスワード。
13 * @param string $inputAttempt 検証のために入力されたと仮定するプレーンテキストのパスワード。
14 */
15function demonstratePasswordHashing(string $plainPassword, string $inputAttempt): void
16{
17    echo "--- パスワードハッシュ化と検証デモンストレーション ---\n";
18    echo "元のパスワード: " . $plainPassword . "\n";
19
20    // password_hash() 関数を使用してパスワードをハッシュ化します。
21    // 第二引数に PASSWORD_BCRYPT 定数を指定することで、bcrypt アルゴリズムが選択されます。
22    // password_hash() は自動的に安全なソルトを生成し、適切なコストでハッシュ化を行います。
23    $hashedPassword = password_hash($plainPassword, PASSWORD_BCRYPT);
24
25    echo "ハッシュ化されたパスワード (bcrypt): " . $hashedPassword . "\n\n";
26
27    // --- パスワードの検証 ---
28    echo "検証のために入力されたパスワード: " . $inputAttempt . "\n";
29
30    // password_verify() 関数を使用して、入力されたパスワードがハッシュと一致するかを検証します。
31    // この関数は、ハッシュ内に含まれるアルゴリズム情報とソルトを自動的に抽出し、比較を行います。
32    if (password_verify($inputAttempt, $hashedPassword)) {
33        echo "検証結果: パスワードは一致しました。ログイン成功！\n";
34    } else {
35        echo "検証結果: パスワードは一致しませんでした。ログイン失敗！\n";
36    }
37    echo "--------------------------------------------------\n\n";
38}
39
40// デモンストレーションの実行例1: 正しいパスワードでの検証
41demonstratePasswordHashing('mySuperSecretPass123', 'mySuperSecretPass123');
42
43// デモンストレーションの実行例2: 間違ったパスワードでの検証
44demonstratePasswordHashing('anotherSecurePassword', 'wrongPasswordAttempt');
45
46?>

PHP 8で提供されるPASSWORD_BCRYPTは、パスワードを安全にハッシュ化する際に使用するアルゴリズムを指定するための定数です。この定数自体に引数や戻り値はありませんが、主にpassword_hash()関数と組み合わせて利用されます。セキュリティの観点から、パスワードは必ずハッシュ化して保存し、元のパスワードに復元せずに比較することが重要です。

サンプルコードでは、password_hash()関数を用いてプレーンテキストのパスワードをハッシュ化しています。この関数の第一引数にはハッシュ化したいパスワード、第二引数にはアルゴリズムを指定するPASSWORD_BCRYPT定数を渡します。password_hash()は、bcryptアルゴリズムに基づき、自動的に安全な「ソルト」を生成し、適切なコストでセキュリティ強度を高めたハッシュ値を文字列として返します。

次に、password_verify()関数を使って、入力されたパスワードがハッシュ値と一致するかを検証します。この関数の第一引数にはユーザーが入力したパスワード、第二引数には保存されているハッシュ値を指定します。password_verify()は、ハッシュ値に含まれる情報からアルゴリズムとソルトを自動抽出し、入力パスワードを再度ハッシュ化して比較を行います。両者が一致すればtrue、一致しなければfalseをブール値で返します。このように、PHPのpassword_hash()とpassword_verify()は、元のパスワードを知ることなく安全に認証を行うための、推奨される手法です。

プレーンテキストのパスワードは絶対にデータベースへ保存せず、必ずpassword_hash()関数でハッシュ化してください。サンプルコードのようにPASSWORD_BCRYPTを指定することで、PHPが自動で安全なソルトと適切なハッシュコストを適用し、パスワードを強固に保護します。これにより、開発者が複雑なセキュリティ対策を意識することなく、現在のベストプラクティスに基づいたパスワード管理を実現できます。脆弱なパスワード処理によるセキュリティリスクを大幅に低減するため、手動でハッシュやソルトを生成するのではなく、必ずpassword_hash()とpassword_verify()の組み合わせを利用してください。将来的には、より強力なアルゴリズムや高いコストが必要になる場合があるため、password_needs_rehash()関数を用いて定期的なパスワードの再ハッシュ（リハッシュ）を検討することも重要です。