推荐使用OpenSSL扩展进行AES加密解密,通过openssl_encrypt和openssl_decrypt函数实现安全的数据保护。
如果您需要在PHP项目中对敏感数据进行保护,确保信息在传输或存储过程中的安全性,可以通过加密算法将明文转换为密文,使用时再进行解密。以下是几种常见的实现方式。
本文运行环境:MacBook Pro,macOS Sonoma
一、使用OpenSSL扩展进行AES加密解密
OpenSSL是PHP内置的强大加密扩展,支持多种加密算法,其中AES(高级加密标准)因其高安全性和性能被广泛使用。通过openssl_encrypt和openssl_decrypt函数可实现加解密功能。
1、定义加密密钥和初始化向量(IV),密钥长度需符合AES标准(如16、24或32字节)。
2、调用openssl_encrypt()函数,传入明文、加密方法(如
AES-256-CBC)、密钥和IV,返回Base64编码的密文。
3、解密时使用openssl_decrypt()函数,传入密文、相同的方法、密钥和IV,还原原始明文。
二、使用Mcrypt库(已弃用,仅用于旧系统兼容)
Mcrypt曾是PHP常用的加密扩展,但在PHP 7.2之后已被移除。若运行环境仍支持,可使用其进行简单加解密操作,但建议迁移到OpenSSL。
1、检查系统是否安装Mcrypt扩展,可通过extension_loaded('mcrypt')确认。
2、选择合适的加密算法(如MCRYPT_RIJNDAEL_128)和模式(如MCRYPT_MODE_CBC)。
3、使用mcrypt_encrypt函数加密数据,并用mcrypt_decrypt函数解密,注意需手动处理填充和编码转换。
三、基于Hash_HMAC的消息认证与对称加密封装
为了增强数据完整性验证,可结合哈希消息认证码(HMAC)实现带签名的加密结构。该方法不仅加密数据,还防止篡改。
1、生成随机密钥用于加密和HMAC签名。
2、先对明文执行AES加密,得到密文。
3、使用hash_hmac()函数对密文生成HMAC值,并将其与密文拼接后输出。
4、解密时先分离HMAC和密文,重新计算HMAC并比对,确保数据未被修改后再解密。
四、使用Defuse Crypto Library第三方安全库
Defuse PHP-Crypto是一个专注于安全性的开源加密库,封装了底层复杂操作,避免开发者因误用导致安全隐患。
1、通过Composer安装Defuse库:composer require defuse/php-encryption。
2、引入Autoloader并使用Crypto类的encrypt()和decrypt()方法。
3、密钥可通过Key::createNewRandomKey()自动生成,并以字符串形式保存。
4、所有加密操作自动处理IV、认证标签和序列化,极大降低出错风险。
