<?php $username = 'ユーザ名'; $password = 'パスワード'; $hashes = [ 'mpyw' => '$2y$10$p3v4KlSFqx11/84YF2xTJu4h5hQKhwsH5/X5bqoVgkY./.vFxf3HS', ]; $result = isset($hashes[$username]) && password_verify($password, $hashes[$username]); password_verifyを実行するかしないかで大きく実行時間に差が現れるため,ユーザ名が存在すること・しないことがバレやすい.これではユーザ名をできるだけ保護したい目的で「ユーザ名またはパスワードのどちらかが違います」のようにメッセージを出したとしても意味が無くなってしまう. では,ただpassword_verifyをとりあえず実行しておけばいい
![password_verifyは本当にタイミングセーフなのか? - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/18d77d57dd42779749924e3d1e0984c1735ad884/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9cGFzc3dvcmRfdmVyaWZ5JUUzJTgxJUFGJUU2JTlDJUFDJUU1JUJEJTkzJUUzJTgxJUFCJUUzJTgyJUJGJUUzJTgyJUE0JUUzJTgzJTlGJUUzJTgzJUIzJUUzJTgyJUIwJUUzJTgyJUJCJUUzJTgzJUJDJUUzJTgzJTk1JUUzJTgxJUFBJUUzJTgxJUFFJUUzJTgxJThCJUVGJUJDJTlGJnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmcz04MWFhY2Y2NTdjNWY5ZjZiYWNmMDYxNjg2MzYzY2YzMQ%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBtcHl3JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz05YWI3NzllNDFiNDU0ODg3NzdmYTFhYmQ2ZDA3MzIzYQ%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D09a587eae285707856462aa69e53ca3d)