// 使用例
$options = ['cost' => 12];
$hash = password_hash($pass, PASSWORD_BCRYPT, $options);
password_hashから返却される値の出現する文字列の範囲は
./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
のようです。
この範囲外の文字列、例えば「"'」などのコード内に含めると都合の悪いコードや「❔」といったマルチバイト文字・絵文字は出現しないものになります。
正確な範囲を確認するにはソースコードを読むことが望ましいですが、ちょっとしたコードを書いて検証する事もできます。
(処理速度を調べるコードに一工夫をして、確認するコードを追加してみましょう。)
PHP5.3.2にて SHA-256 および SHA-512 が追加された際の説明に、実装の基となったものが紹介されています。
PHP: crypt - Manual
GitHubにてソースコードを検索することもできます。
php/php-src - GitHub