Zerosquare (./26) :
imagine que cette fonction ait existé à l'époque où le MD5 était considéré comme sûr. Quelques années plus tard, MD5 est cassé, mais la fonction continue à l'utiliser pour assurer la compatibilité. Si tu lui fais aveuglément confiance, tu te fais avoir.

non, justement : si tu utilises l'algo par défaut et que celui aujourd'hui utilisé par défaut n'est plus jugé comme secure demain, un autre algo deviendra celui par défaut. Et donc ton code continuera d'utiliser (via password_hash()) un mécanisme jugé comme secure -- même si ce n'est pas le même qu'hier.