本文介绍如何安全、高效地生成一个5位纯数字密码，确保其明文值未被任何现有 bcrypt 哈希（如 password_hash）所匹配，并提供可直接运行的优化实现。

在用户注册或密码重置等场景中，有时需自动生成简短、易记的数字密码（如5位验证码式密码），但必须保证该明文数字从未被数据库中任一 password_hash() 生成的哈希所对应——否则将导致身份混淆或安全绕过。原代码存在多个关键问题：rand(0,4) 仅生成 0–4 的单数字，远非5位；foreach 套 do-while 导致逻辑错乱（每次遍历一个哈希就覆盖 $ou

以下是修复后的专业实现：

function createLoginPassword(): int
{
    // 模拟从数据库查询出的所有已使用的 bcrypt 哈希（PASSWORD_HASH 输出）
    $existingHashes = [
        '$2y$10$gPenW2YPLzoZOKb/PZ8SC.UFh6C0cLALoO11x/8hjP3GeefMJ6sOu', // 对应明文可能是 "12345"
        '$2y$10$iOOmAx4kJLNP5H91tfoaz.SarIA1byrUgEE8rtt9llqth5l4v5ACC', // 对应明文可能是 "67890"
        // ... 更多哈希（实际应来自 SELECT password_hash FROM users）
    ];

    // 循环生成，直到找到一个未被任何现有哈希验证通过的5位数
    do {
        $candidate = rand(10000, 99999); // 严格限定为5位：10000 ~ 99999
    } while (
        !empty(
            array_filter(
                $existingHashes,
                fn(string $hash) => password_verify((string)$candidate, $hash)
            )
        )
    );

    return $candidate;
}

// 使用示例
$ newPassword = createLoginPassword();
echo "生成的唯一5位密码: " . $newPassword; // 如：48291

✅ 关键改进说明：

• ✅ 范围正确：rand(10000, 99999) 确保始终输出5位整数（无前导零，避免 00123 被解析为 123）；
• ✅ 校验完整：array_filter() 遍历全部哈希，只要任一 password_verify() 返回 true，即判定冲突，重新生成；
• ✅ 类型安全：显式将 $candidate 转为字符串传入 password_verify()（该函数要求明文为字符串）；
• ✅ 简洁健壮：单层 do-while 避免嵌套逻辑错误，函数返回类型声明 : int 提升可维护性。

⚠️ 注意事项：

• 若数据库哈希量极大（如 >10万条），此方法可能因碰撞概率上升而变慢。此时建议改用「先生成 → 查库确认 → 冲突则重试」策略（即 SELECT 1 FROM users WHERE password_hash = PASSWORD_HASH('candidate')），利用数据库索引加速；
• 生产环境切勿将密码明文持久化存储，本方案仅适用于临时分发（如短信验证码登录），且应配合过期时间与使用次数限制；
• password_hash() 默认使用 bcrypt，兼容 password_verify()，但请确保 PHP 版本 ≥ 5.5.0 且启用了 crypt 扩展。

该方案兼顾安全性、可读性与实用性，是生成哈希隔离型数字密码的推荐实践。