Composer不验证PHAR签名,需通过PHP内置机制或外部工具确保安全。应从官方渠道下载PHAR,校验SHA256/GPG签名,并使用PHIVE等专用工具实现自动验证与管理。
Composer 本身并不直接处理 PHAR 包的签名验证,PHAR 签名是 PHP 内置 PHAR 扩展的一部分功能。当你使用或分发一个带签名的 PHAR 文件时,PHP 会在运行时验证其完整性。而 Composer 主要管理的是基于源码的依赖包(如通过 Git、Zip 下载的类库),不是直接执行 PHAR 包。但如果你在项目中引入了第三方 PHAR 工具(例如 PHP-CS-Fixer、PHPStan、Phan 等),并且关心这些 PHAR 是否被篡改,就需要手动处理其签名验证问题。
PHAR 支持两种签名方式:SHA1 和 OpenSSL。当 PHAR 被创建时,开发者可以使用私钥对其内容签名,用户端则通过公钥验证其完整性。如果 PHAR 文件被修改,验证将失败并抛出异常。
常见命令:
phar.require_hash = 0 在 php.ini 中(不推荐)虽然 Composer 不会自动帮你验证 PHAR 签名,但你可以通过以下方式确保安全:
curl -O https://github.com/FriendsOfPHP/PHP-CS-Fixer/releases/download/v3.44.0/php-cs-fixer.phar curl -O https://github.com/FriendsOfPHP/PHP-CS-Fixer/releases/download/v3.44.0/php-cs-fixer.phar.asc gpg --verify php-cs-fixer.phar.asc
你可以在 composer.json 的 post-install-cmd 或 post-update-cmd 中加入自定义脚本,用于下载并验证 PHAR 包。
{ "scripts": { "post-install-cmd": [ "sh verify-phar.sh" ] } }verify-phar.sh 示例内容:
#!/bin/bash
EXPECTED_HASH="a1b2c3d..."
FILE="bin/php-cs-fixer.phar"
if [ -f "$FILE" ]; then
ACTUAL_HASH=$(sha256sum $FILE | awk '{print $1}')
if [ "$ACTUAL_HASH" != "$EXPECTED_HASH" ]; then
echo "PHAR 校验失败!可能已被篡改。"
exit 1
else
echo "PHAR 验证通过。"
fi
fi
如果你大量使用 PHAR 工具,建议使用 PHIVE(PHAR Installation and Verification Environment)。它专为 PHAR 包设计,支持自动签名验证和版本管理。
wget -q -O phive.phar https://phar.io/phive.phar
phive install php-cs-fixer --trust-gpg-keys 9DC858229FC7DD38854AE2D86D5A3B7F4BEB530C
基本上就这些。Composer 不负责 PHAR 签名验证,这是由 PHP 和外部工具链完成的。关键在于建立可信的获取与验证流程,避免执行未经确认的 PHAR 文件。手动校验哈希、使用 GPG 或 PHIVE 是更安全的选择。
以上就是composer怎么处理phar包的签名验证_教你处理依赖phar签名验证的问题的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
492
收藏
