php主流架构中不推荐自行实现加密算法,应使用openssl_encrypt/decrypt或sodium_crypto_secretbox;mcrypt已废弃且不安全,手写AES-CBC易受填充预言攻击;sodium要求密钥32字节、nonce唯一且24字节;密钥须环境变量管理,nonce可明文存储;框架如laravel应优先用其封装的Encrypter。
PHP 主流架构中不推荐自行实现加密算法,应直接使用 PHP 原生提供的 openssl_encrypt / openssl_decrypt 或 sodium_crypto_secretbox(PHP 7.2+),它们已通过严格审计、支持 AEAD 模式、自动处理 nonce 和填充。
为什么不用 mcrypt 或手写 AES-CBC
mcrypt 已在 PHP 7.2 中被彻底移除,且其 API 设计存在固有缺陷:不强制验证密文完整性、无默认安全参数、IV 生成方式易出错。手写 CBC 模式若未配合 Hmac 校验,会面临填充预言攻击(padding oracle)——哪怕密钥不变,攻击者也能逐步解出明文。
- PHP 5.6+ 的
openssl_encrypt默认使用AES-128-CBC,但必须手动用hash_hmac保证完整性,否则不安全 - PHP 7.2+ 的
sodium扩展提供sodium_crypto_secretbox,底层是XChaCha20-Poly1305,一次调用完成加密+认证,无需额外 HMAC 步骤 - 若项目仍需兼容 PHP 7.1 及以下,可用
defuse/php-encryption库(composer 安装),它封装了 OpenSSL 并强制执行 AEAD 流程
sodium_crypto_secretbox 的最小安全用法
该函数要求密钥为 crypto_secretbox_keygen() 生成的 32 字节随机密钥,nonce 必须唯一(不能重复使用),且长度固定为 24 字节。重用 nonce 会导致密钥直接暴露。
$key = sodium_crypto_secretbox_keygen(); $nonce = random_bytes(24); // 必须每次加密都新生成 $ciphertext = sodium_crypto_secretbox($plaintext, $nonce, $key); // 解密时必须用同一 $nonce 和 $key $plaintext = sodium_crypto_secretbox_open($ciphertext, $nonce, $key); if ($plaintext === false) { throw new Exception('Decryption failed — invalid key, nonce, or tampered ciphertext'); }Web 应用中密钥与 nonce 的存储原则
密钥绝不能硬编码在代码里或存入数据库;nonce 可随密文一起存储(如 jsON 字段 {"nonce": "base64...", "ciphertext": "base64..."}),因为它不需要保密,只需唯一性。
立即学习“PHP免费学习笔记(深入)”;
- 生产环境密钥建议从环境变量读取:
$_SERVER['ENCRYPTION_KEY'],并通过base64_decode()转为二进制 - 避免用
date()、microtime()或自增 ID 生成 nonce —— 它们不可靠且易重复 - 若使用 Laravel,优先走
IlluminateEncryptionEncrypter(底层已适配 Sodium 或 OpenSSL),不要绕过框架直接调用原生函数 - mysql 等数据库字段加密后,索引将失效;如需模糊查询,应改用盲水印或带加密索引的方案(如
pgp_sym_encrypt+ postgresql)
真正难的不是调哪个函数,而是确保密钥生命周期管理闭环、nonce 不重用、密文完整性可验证——这些环节出问题,再强的算法也形同虚设。