如何存储密码盐？

将盐放在已经被攻击者窃取的数据库中并不是一个实际问题。将盐与原始密码结合成密码哈希可以防止攻击者使用数百万已知密码哈希的“彩虹表”获得部分被盗用户ID的密码。
将密码和盐混合后进行哈希处理，使得即使针对单个密码破解也变得难度大幅提高，因为盐会使得彩虹表中的已知密码哈希失效。因此，即使攻击者已经知道了每个用户的盐值，在尝试破解任何单个用户时，攻击者必须为该用户计算一个全新的彩虹表，将用户的盐与他们最初的彩虹表中其他密码相结合以破解用户的密码。
加盐并不能使密码变得完全无法破解，但它可以极大地增加破解的难度。例如，攻击者可以拿着哈希和盐值，针对你用户的小部分进行攻击，这也是鼓励用户使用强密码的另一个原因，这样更不可能出现在彩虹表中。

我建议将盐值与哈希算法的标识符和哈希本身一起存储。
原因如下：
通常，对数据库的访问仅限于localhost或某些预定义的IP地址范围。这意味着，为了获取对您的数据库的访问权限，黑客需要破解您服务器的文件系统（通过直接访问或注入脚本）。或执行SQL注入攻击。
在前一种情况下，这意味着如果有人获得了您在数据库中的盐值，他/她也可以轻松地从您的PHP文件源代码中读取它们。
后一种情况可以通过使用PDO或MySQLi的准备语句来简单地防止。您不应再使用旧的mysql_*函数作为API。它们已经不再维护，并且停用过程已经开始。
即使有人得到了您的数据库，也不是什么大问题。如果您使用crypt()函数使用良好算法（建议使用CRYPT_BLOWFISH）创建哈希，则破解一个密码甚至可能需要数年时间。在此期间，您可以轻松向用户发送“更改密码”通知，并锁定所有未这样做的用户。
如果您正在使用PHP 5.5+，则应改用新的密码API：http://php.net/password

盐被设计为明文并立即可用。密码哈希是完全不可逆的，但可以通过字典攻击破解。因此，需要足够的盐来增加几个数量级，以扰乱字典攻击。公开盐不应降低哈希密码的安全性。