使用AES加密敏感字段,password_hash哈希密码,配置信息存环境变量,结合SSL和数据库加密实现分层防护。
在PHP开发中,数据库敏感信息的加密保护是保障用户数据安全的重要环节。直接存储明文密码、身份证号、手机号等敏感数据存在巨大风险。以下是几种实用的数据加密与保护策略,帮助开发者提升系统安全性。
使用对称加密保护敏感字段
对称加密(如AES)适合用于加密数据库中的特定字段,比如用户手机号、身份证号等。加密和解密使用相同的密钥,操作高效。
PHP中可通过openssl_encrypt和openssl_decrypt函数实现:
- 选择安全的加密算法,如AES-256-CBC
- 生成并妥善保管加密密钥(不要硬编码在代码中)
- 每次加密使用唯一的初始化向量(IV),并将其与密文一起存储
示例代码:
立即学习“PHP免费学习笔记(深入)”;
$key = 'your-32-byte-secret-key-here'; // 应从环境变量或配置文件读取 $iv = openssl_random_pseudo_bytes(16); $data = '13800138000'; $encrypted = openssl_encrypt($data, 'AES-256-CBC', $key, 0, $iv); // 存储 $encrypted 和 $iv 到数据库
密码存储必须使用哈希而非加密
用户密码不能使用可逆加密,而应使用强哈希算法进行单向散列。PHP提供了password_hash()和password_verify()函数。
- 使用password_hash($password, PASSWORD_DEFAULT)生成哈希值
- 验证时用password_verify($input, $hash)比对
- 默认使用bcrypt算法,自动加盐,无需手动处理
这种方式即使数据库泄露,攻击者也无法轻易还原原始密码。
数据库连接与配置信息保护
数据库账号、密码等配置信息不应写死在代码中。
启用传输层与存储层加密
除了应用层加密,还应结合底层安全机制:
- 使用SSL/TLS连接数据库,防止中间人窃听
- 数据库本身支持透明数据加密(TDE)的可启用(如MySQL InnoDB表空间加密)
- 定期备份数据也应加密存储
基本上就这些。关键是分层防护:应用层加密关键字段,密码用哈希,配置隔离管理,通信链路加密。不复杂但容易忽略细节。安全是个持续过程,定期审查加密策略是否过时也很重要。
