Да, это правда. Почему вы сомневаетесь в php faq для функции? :)
Результат работы password_hash()
имеет четыре части:
Итак, как вы видите, хэш является его частью.
Конечно, у вас может быть дополнительная соль для дополнительного уровня безопасности, но я, честно говоря, считаю, что это избыток в регулярном php-приложении. Алгоритм bcrypt по умолчанию хорош, и, возможно, дополнительный вариант blowfish еще лучше.