在php开发中,数据加密应根据场景选择合适算法。一、用户密码存储推荐password_hash()和password_verify()函数;二、数据完整性校验使用hmac;三、可逆加密选用aes对称算法;四、数字签名和身份认证采用rsa非对称加密。密码加密需避免md5或sha256,应使用password_default参数自动处理盐值。aes加密需随机iv并妥善保存密钥。rsa适用于少量数据加密和签名验证,如接口调用和支付回调。合理加密能显著提升系统安全性。
在PHP开发中,数据加密是保护敏感信息的重要手段。不管是用户密码、支付信息还是其他私密数据,加密存储和传输几乎是标配操作。实现方式并不复杂,但要选对算法、用对方法。
一、常见的加密场景与对应算法
PHP支持多种加密算法,不同的使用场景需要选择合适的加密方式:
-
用户密码存储:推荐使用
password_hash()和password_verify()函数,它们默认使用BCrypt算法,安全且方便。 -
数据完整性校验:例如验证API请求来源,可以使用HMAC(如
hash_hmac())来签名和验证。 - 数据加密传输或存储:如果需要可逆加密,比如加密用户的身份证号并能解密回来,可以选择AES等对称加密算法。
- 数字签名和非对称加密:适用于身份认证、电子合同等场景,常用RSA算法。
不同场景下使用的加密方式差别较大,不能混用。
立即学习“PHP免费学习笔记(深入)”;
二、如何安全地存储用户密码?
用户密码是最常见的加密需求之一。很多人误以为只要用MD5或者SHA256哈希一下就安全了,其实不然。
正确的做法是使用:
$passwordHash = password_hash($password, PASSWORD_DEFAULT);
然后在登录时验证:
if (password_verify($inputPassword, $storedHash)) {
// 验证通过
}关键点:
-
PASSWORD_DEFAULT会自动选用当前最安全的算法(目前是BCrypt) - 自动处理盐值(salt),不需要手动干预
- 不建议自行拼接盐或多次哈希
这种方式简单又安全,PHP官方也推荐使用。
三、AES对称加密的基本用法
如果你需要加密某些字段,并在之后还能解密出来,可以使用AES这类对称加密算法。
请注意以下说明:1、本程序允许任何人免费使用。2、本程序采用PHP+MYSQL架构编写。并且经过ZEND加密,所以运行环境需要有ZEND引擎支持。3、需要售后服务的,请与本作者联系,联系方式见下方。4、本程序还可以与您的网站想整合,可以实现用户在线服务功能,可以让客户管理自己的信息,可以查询自己的订单状况。以及返点信息等相关客户利益的信息。这个功能可提高客户的向心度。安装方法:1、解压本系统,放在
一个简单的例子:
function encrypt($data, $key) {
$ivLength = openssl_cipher_iv_length('AES-256-CBC');
$iv = openssl_random_pseudo_bytes($ivLength);
$encrypted = openssl_encrypt($data, 'AES-256-CBC', $key, 0, $iv);
return base64_encode($iv . $encrypted);
}
function decrypt($data, $key) {
$data = base64_decode($data);
$ivLength = openssl_cipher_iv_length('AES-256-CBC');
$iv = substr($data, 0, $ivLength);
$encrypted = substr($data, $ivLength);
return openssl_decrypt($encrypted, 'AES-256-CBC', $key, 0, $iv);
}注意事项:
- 密钥必须妥善保存,不能硬编码在代码里
- 使用CBC模式时一定要随机IV,每次加密都不同
- 加密结果要用base64编码后再存储或传输
这个方法适合用于加密数据库中的敏感字段,比如手机号、身份证号等。
四、非对称加密:RSA的典型应用
非对称加密常用于接口签名、身份认证等场景。生成一对公私钥后,可以用公钥加密、私钥解密。
生成密钥命令(使用OpenSSL):
openssl genrsa -out private_key.pem 2048 openssl rsa -pubout -in private_key.pem -out public_key.pem
PHP中使用:
// 加密(使用公钥) openssl_public_encrypt($data, $encrypted, $publicKey); // 解密(使用私钥) openssl_private_decrypt($encrypted, $decrypted, $privateKey);
适用场景:
- 用户注册时客户端用公钥加密密码再发送
- 支付回调通知的签名验证
- 接口调用的身份签名验证
注意:RSA加密的数据长度受限,通常只用来加密少量数据(如密钥本身),不适用于大段文本。
基本上就这些常见做法。加密不是万能的,但合理的加密可以显著提升系统安全性。关键是根据实际场景选择合适的方法,并正确实现。
