composer安装需先启用php的ext-openssl扩展,因Composer依赖其提供SSL/TLS支持;运行
php -m | grep openssl验证是否启用,未输出则需在php.ini中取消extension=openssl(linux/macOS)或extension=php_openssl.dll(windows)前的分号,并确认对应DLL或SO文件存在,重启环境后再次验证。
Composer 安装 ext-openssl 前必须确认系统支持
Composer 本身不提供加密组件,crypt 功能依赖 PHP 扩展。最常用、最稳妥的是 ext-openssl,不是某个叫 crypt 的包。直接运行 composer require ... crypt 会失败或装错东西。
先检查是否已启用:
php -m | grep openssl没输出?说明扩展未启用。Linux/macOS 通常只需确保 php.ini 中有:
extension=opensslwindows 用户需取消 php.ini 中 ; 的分号注释,并确认 extension=opensslphp_openssl.dll 文件存在。
重启 Web 服务或 CLI 环境后验证:
php -r "echo extension_loaded('openssl') ? 'yes' : 'no';"用 openssl_encrypt 和 openssl_decrypt 实现 AES 加解密
PHP 原生函数比第三方包更轻量、更可控,也避免了 Composer 包版本冲突或废弃风险。关键点不在“装什么”,而在“怎么用对参数”。
-
openssl_encrypt必须指定$method(如'AES-256-CBC'),不能只传字符串 - IV(初始化向量)必须是随机生成且长度匹配(AES-CBC 需 16 字节),且加解密时用同一个 IV
- 密钥建议用
openssl_random_pseudo_bytes(32)生成 256 位,别硬编码明文密码 - 返回值默认是原始二进制,建议用
base64_encode转成字符串存储或传输
示例(安全可用,非教学玩具):
$key = openssl_random_pseudo_bytes(32); $ivlen = openssl_cipher_iv_length($cipher = "AES-256-CBC"); $iv = openssl_random_pseudo_bytes($ivlen); $plaintext = "hello world"; $ciphertext_raw = openssl_encrypt($plaintext, $cipher, $key, $options = OPENSSL_RAW_DATA, $iv); $ciphertext = base64_encode($iv . $ciphertext_raw); // IV 和密文拼接存储 // 解密时先分离 IV $c = base64_decode($ciphertext); $iv_dec = substr($c, 0, $ivlen); $ciphertext_raw_dec = substr($c, $ivlen); $original = openssl_decrypt($ciphertext_raw_dec, $cipher, $key, $options = OPENSSL_RAW_DATA, $iv_dec);为什么不要轻易装 ircmaxell/php-crypt 或类似包
这类历史包大多已弃用、无维护,且可能绕过 PHP 原生 OpenSSL 的安全加固逻辑。Composer 上搜 crypt 出来的结果里:
-
ircmaxell/php-crypt:2015 年归档,作者明确推荐用password_hash或openssl_* -
defuse/php-encryption:功能完整但引入额外抽象层,调试困难;其 v2+ 强制要求ext-sodium,而很多生产环境仍用 OpenSSL - 任何带
mcrypt的包:PHP 7.2+ 已移除,装上也会报function mcrypt_encrypt is deprecated
真正需要的不是“Crypt 组件”,而是明确场景:
— 存用户密码?用 password_hash/password_verify
— API 接口加签?用 hash_hmac
— 敏感字段 AES 加密?走上面 openssl_* 流程
遇到 OpenSSL Error:0909006C 怎么快速定位
这是最常见的 OpenSSL 报错之一,含义是“密钥或 IV 长度不对”。不是配置问题,是代码写错了。
- 检查
$key长度:AES-256 要 32 字节,mb_strlen($key, '8bit')必须等于 32 - 检查
$iv长度:用openssl_cipher_iv_length('AES-256-CBC')获取,不是固定写 16 - 确认没把 base64 字符串直接当二进制传给
openssl_decrypt—— 必须先base64_decode - 别混用
OPENSSL_ZERO_PADDING和OPENSSL_PKCS1_PADDING,AES 不用 PKCS#1
一个典型错误写法:
// ❌ 错:$key = 'my-secret-key'; → 只有 13 字节 // ✅ 对:$key = hash('sha256', 'my-secret-key', true); // 强制二进制输出IV 每次加密都该全新生成,但解密时必须还原——这个“拼接存储 + 分离使用”的习惯,比选什么包更重要。