问PHP的password_verify()对于超长密码(DoS攻击)安全吗？

EN

一般攻击场景：

在2013年，Django有一个普遍的漏洞，因为攻击者可以通过非常大的密码[see the security notice here]创建极其密集的CPU计算。我不确定在不做任何进一步检查的情况下使用PHP的password_verify()和其他密码散列方法是否仍然可行。

PHP文档说：：

对algo参数使用PASSWORD_BCRYPT将导致

参数被截断为最大长度为72个字符。

但是，的代码可能说明了一些不同的东西：

然而，C code behind PHP 5.5.0's function并不直接限制传递的参数(也许在bcrypt算法内部的更深层次上?)。此外，PHP implementation不会限制参数。

问题：

password_verify() (以及同一函数集的其他函数)是否易受通过POST参数过多而导致的DoS攻击？还请考虑POST上传大小远远大于4MB的站点范围的配置情况。