Nochmal:

Die Kompatibilität zu PHP 5.3 wurde(sic!) in der 2016er Version dann und nur dann hergestellt, wenn es password_hash() nicht gibt. PHP 5.3 gibt es diese Funktionen.

Logische Folge: Die Kompatibilität zu PHP 5.3 wurde nur in Versionen kleiner als 5.3 hergestellt.

Mir wurde auch nahe gelegt, für die Ersatzfunktionen random_int() zu verwenden, welches erst ab PHP 7.0 verfügbar ist.

Das kann, wie beschrieben, nicht funktionieren.

Zur Sicherheit:

• Wenn das Skript mit PHP 5.2 oder früher interpretiert wurde, dann wurden die Passwörter mit meinen Ersatzfunktionen deutlich sicherer gehascht als mit den damaligen Möglichkeiten von PHP.
• Wenn das Skript mit PHP ab Version 5.3 ausgeführt wurde, dann wurden und werden die Passwörter mit den Password-Funktionen von PHP gehasht. Damit hat mein Skript beim Ablauf in diesen Version die Sicherheit zwar nicht verbessert - aber ganz gewiss auch nicht verschlechtert.
• Und wieso soll ich, bitte, dafür verantwortlich sein wenn anno 2019 jemand meine Skript auf veralteten Installationen mit nicht mehr unterstütztem PHP und womöglich nicht mit (vollständig sicher konfiguriertem) HTTPS und auch sonst nicht optimal konfigurierten (session.cookie_httponly=0) Servern laufen lässt und mir die Vorhaltung machen lassen, dass mein Skript unsicher sei, weil DAS geht?