如何对密码进行哈希和加盐处理

答案是不要自己尝试。在PHP中，可以使用bcrypt一行代码来完成你需要的所有操作。
阅读这篇文章，它易于理解并解释了你提出的所有问题：http://codahale.com/how-to-safely-store-a-password/ bcrypt本身考虑到了哈希处理，并可以配置为“复杂”程度，以保持用户密码的完整性，即使被黑客攻击也能保证安全。
哦，我们不是“加密”密码，而是对其进行哈希处理。

你需要存储计算哈希值所使用的哈希和盐。
如果你想检查一个输入是否等同于原始输入值，你可以使用相同的盐重新计算哈希值，并将存储的哈希值与新计算的哈希值进行比较。如果它们相等，则两个输入值是相同的（至少在某个特定概率上）。
哈希算法的选择也很重要。因为有快速哈希算法和相对较慢的哈希算法。而且，如果你想使碰撞难以被发现（至少在暴力破解中），请使用较慢的哈希算法。

通常你所做的事情是这样的：

salted = HASH(password . key); // DON'T DO IT LIKE THIS 

其中key是“盐” - 存储在配置文件中的秘密密钥。因此，为了破解密码，您需要同时拥有秘密密钥和数据库，因此最好将它们存储在不同的位置。

由于我展示的模式不够强大，所以最好使用HMAC来代替手写的加盐。这样的操作就像哈希一样简单，而且PHP也支持这种操作。

salted = hash_hmac('sha1',password,key); // <-- this is ok

看这个：http://php.net/manual/zh/function.sha1.php

我想知道如何对哈希值进行加盐并使用加盐的哈希值？如果密码是使用随机生成的盐进行加密，那么当用户尝试认证时我们如何验证它？我们需要在数据库中存储生成的哈希值吗？
是的。首先，您需要生成一个盐，然后从密码加上盐生成哈希值，将哈希值和盐一起保存。
盐应该如何生成？我不确定是否有共识。我使用 /dev/random 作为示例。

$salt = '$2a$12$' 
    . strtr(substr(base64_encode(shell_exec(
        'dd if=/dev/random bs=16 count=1 2>/dev/null'
        )), 0, 22), '+', '.')
    . '$';
$hash = crypt($input, $salt);

哪种加密方法更受青睐？据我所知，sha256还不错。
请参考计算机大师的答案，即像上面的示例一样使用bcrypt。请参阅PHP手册页面上的crypt()。如果您的系统上没有bcrypt，则可以通过Suhosin补丁来获取它。
当用户进行身份验证时，“重新加盐”哈希值是否是一个好主意？
盐只是使字典攻击变慢的一种方式。如果您有一个足够随机的盐，我认为经常更改它并不会有所帮助。您最好投入精力让用户选择好密码，定期更改密码，并将您的Blowfish成本参数保持在合理的值。
最后，多次重新哈希它是否会有任何重大安全提升？
这个问题属于密码设计领域。我建议您把它留给专家。换句话说：忘掉它——只需使用最佳常规实践即可。

三个简单的规则。好吧，其实是五个：

1. 最重要的事情，如果你想让你的密码存储安全：只允许使用强密码，例如至少8个字符，包含大小写字母、数字和标点符号。
2. 只允许用户使用强密码。制定一个例行程序来检查长度和字符范围，并拒绝弱密码。甚至可以获取John the ripper数据库并进行检查。
3. 狠狠地折磨用户，逼迫他们选择足够长且随机的好密码。密码！不是盐，每个人都喜欢花费数小时来谈论它，但密码本身应该足够随机！
4. 给你的密码加盐，并将盐与用户信息一起存储。你可以使用用户的电子邮件和用户名作为完美的盐，无需发明什么非常随机的东西。
5. 特定的算法并不那么重要，你也可以使用MD5。在现实世界中，很少有人会费心去破解你著名的“钓鱼和杂货粉丝协会”网站论坛的用户数据库。