本文介绍一种安全、可靠的方法，用于生成一个未被任何现有密码哈希（password_hash）验证通过的5位纯数字密码，避免因哈希碰撞导致的重复或冲突问题。

在用户系统（如临时登录码、一次性密码等场景）中，有时需生成一个纯数字、固定长度（如5位）的随机密码，并确保该数字不会被当前数据库中任一已存储的 password_hash() 哈希值成功验证——即：对所有已有哈希调用 password_verify($candidate, $hash) 均返回 false。

原始代码存在多个关键问题：

• 内层 do-while 循环嵌套在 foreach 中，导致逻辑错乱：它对每个哈希单独尝试生成“不匹配该哈希”的数字，而非确保数字对全部哈希都不匹配；
• rand(0,4) 仅生成 0–4 的单个数字，远非 5 位数（应为 10000–99999）；
• check() 函数设计冗余，且未处理“多个哈希需同时规避”的核心需求。

✅ 正确解法采用 “生成 → 全局校验 → 重试”循环模式，简洁高效：

function createLoginPassword() {
    // 模拟从数据库查询出的所有已存在密码哈希（实际应来自 PDO/MySQLi 查询）
    $pwds = [
        '$2y$10$gPenW2YPLzoZOKb/PZ8SC.UFh6C0cLALoO11x/8hjP3GeefMJ6sOu', // 对应明文可能是 "12345"
        '$2y$10$iOOmAx4kJLNP5H91tfoaz.SarIA1byrUgEE8rtt9llqth5l4v5ACC', // 对应明文可能是 "67890"
        // ... 更多哈希（可动态获取）
    ];

    do {
        // 生成严格意义上的5位随机整数：10000 ~ 99999
        $candidate = rand(10000, 99999);

        // 检查是否「至少有一个」哈希能被该数字成功验证
        // 即：是否存在 $pwd ∈ $pwds 使得 password_verify($candidate, $pwd) === true
        $isCollision = !empty(
            array_filter($pwds, fn($pwd) => password_verify((string)$candidate, $pwd))
        );
    } while ($isCollision);

    return $candidate;
}

echo createLoginPassword(); // 输出类似：48291（确保不被任一已有哈希认可）

? 关键说明与

• ✅ 强制字符串化输入：password_verify() 接收第一个参数为字符串，虽然 rand() 返回整数，PHP 会隐式转换，但显式写成 (string)$candidate 更严谨，避免潜在类型歧义；
• ✅ 全量校验：array_filter() 遍历全部哈希，只要任一验证通过即视为冲突，确保生成结果全局唯一；
• ⚠️ 性能注意：若数据库中哈希数量极大（如 >10⁴），频繁调用 password_verify()（其本身是计算密集型）可能影响性能。此时建议：
  • 将已知的「曾被用作密码的明文数字」单独建白名单表（需额外维护）；
  • 或改用轻量级唯一性保障（如 UUID + 数字映射 + 数据库 UNIQUE 约束）；
• ? 安全性提醒：5位纯数字仅有 90,000 种组合，不可用于高安全场景（如主账户密码）；仅推荐用于短期、低敏感度用途（如短信验证码、设备配网PIN），且应配合速率限制与过期机制；
• ? 生产环境适配：实际使用时，$pwds 应通过安全查询动态获取（例如 SELECT password_hash FROM users WHERE is_active = 1），避免硬编码。

综上，该方案以最小改动达成目标：语义清晰、逻辑健壮、符合 PHP 密码最佳实践，并为后续扩展（如支持更多位数、添加前缀等）留出良好接口。