php常用加密解密方法有四种:一是openssl_encrypt/decrypt实现aes-256-cbc对称加密,需安全生成密钥与iv;二是password_hash/verify用于密码哈希存储,自动加盐且不可逆;三是hash_hmac生成消息认证码保障数据完整性;四是sodium_crypto_secretbox/open提供现代认证加密,兼具机密性与完整性。
在PHP开发中,对敏感数据进行加密处理是保障信息安全的重要手段。以下是几种PHP常用加密解密函数的详细使用方法:
一、使用openssl_encrypt和openssl_decrypt进行AES加密解密
AES是一种对称加密算法,安全性高且性能良好,适用于大多数数据加密场景。需指定加密算法、密钥、初始化向量(IV)及密码模式。
1、生成32字节密钥和16字节IV,确保密钥长度匹配AES-256-CBC要求。
2、调用openssl_encrypt($data, ‘AES-256-CBC’, $key, 0, $iv)对明文进行加密,返回base64编码的密文。
立即学习“PHP免费学习笔记(深入)”;
3、解密时使用openssl_decrypt($encrypted, ‘AES-256-CBC’, $key, 0, $iv),注意传入原始IV和相同密钥。
4、加密前建议使用openssl_random_pseudo_bytes()安全生成密钥与IV,避免硬编码。
二、使用password_hash和password_verify实现密码安全存储
该方式专为密码哈希设计,自动加盐并采用bcrypt算法,不可逆且抗暴力破解,适用于用户登录凭证存储。
1、对用户输入的密码调用password_hash($password, PASSWORD_BCRYPT)生成哈希字符串。
2、将生成的完整哈希值(含算法、成本因子、盐和密文)直接存入数据库,无需额外保存盐值。
3、验证时使用password_verify($input, $hash_from_db)比对输入密码与存储哈希,返回布尔结果。
4、可选参数[‘cost’ => 12]调整计算强度,数值越高越安全但耗时越长。
三、使用hash_hmac进行消息认证码(HMAC)签名
HMAC用于验证数据完整性与来源真实性,不提供保密性,但能防止篡改,常用于API请求签名或令牌校验。
1、选择哈希算法如’sha256’,准备私有密钥$key和待签名数据$data。
2、执行hash_hmac(‘sha256’, $data, $key, true)生成原始二进制签名,通常需base64_encode()编码传输。
3、接收方用相同密钥与算法重新计算HMAC,并使用hash_equals($expected, $provided)安全比对,防止时序攻击。
4、密钥必须保密且长度足够,推荐使用random_bytes(32)生成。
四、使用sodium_crypto_secretbox和sodium_crypto_secretbox_open进行现代加密
libsodium提供的secretbox基于XSalsa20流加密与Poly1305认证,兼具机密性与完整性,PHP 7.2+原生支持,是当前推荐的对称加密方案。
1、调用sodium_crypto_secretbox_keygen()生成32字节随机密钥。
2、使用sodium_crypto_secretbox($message, $nonce, $key)加密,其中$nonce为24字节唯一值,可用sodium_crypto_secretbox_noncegen()生成。
3、解密时调用sodium_crypto_secretbox_open($ciphertext, $nonce, $key),失败时返回false而非抛出异常。
4、每次加密必须使用全新nonce,重复使用nonce将严重削弱安全性。