最可靠的方式是直接使用 OPENSSL_VERSION_TEXT 常量,它在 PHP 5.3.0+ 编译时嵌入 OpenSSL 版本信息,格式如 "OpenSSL 3.0.13 30 Jan 2024",不受运行时动态库干扰;需先用 extension_loaded('openssl') 确认扩展可用。
直接用 OPENSSL_VERSION_TEXT 常量最可靠
PHP 编译时嵌入的 OpenSSL 版本信息,最权威的来源就是预定义常量 OPENSSL_VERSION_TEXT。它返回类似 "OpenSSL 3.0.13 30 Jan 2024" 的完整字符串,比函数调用更底层、不受运行时动态库替换干扰。
注意:这个常量从 PHP 5.3.0 起可用,且无需额外扩展启用——只要 openssl 扩展被编译进 PHP(不是以 shared 方式禁用),它就存在。
- 在探针脚本里直接输出:
echo OPENSSL_VERSION_TEXT;
- 若需提取纯版本号(如
3.0.13),可用正则:preg_match('/OpenSSL\s+([0-9.]+)/', OPENSSL_VERSION_TEXT, $m); echo $m[1] ?? 'unknown'; - 不要依赖
phpinfo()页面里的“OpenSSL Library Version”行——它可能显示的是运行时加载的共享库版本,和编译时链接的不一致(尤其在容器或自定义 LD_LIBRARY_PATH 环境下)
openssl_version_ssl() 返回的是运行时 SSL 协议支持能力
这个函数实际返回的是 OpenSSL 库当前能协商的最高 TLS 协议版本(如 TLSv1.3),不是版本号。它容易被误读为“OpenSSL 版本”,但本质是协议能力探测结果。
典型误用场景:看到返回 TLSv1.2 就认为 OpenSSL 很老——其实可能是服务器配置限制了协议启用,或 PHP 运行时调用了旧版兼容接口。
立即学习“PHP免费学习笔记(深入)”;
- 它不返回数字版本,无法用于判断是否支持 X.509 v3 扩展、ChaCha20 或 post-quantum 算法等具体特性
- 返回值受
openssl.conf中MinProtocol/MaxProtocol影响,和OPENSSL_VERSION_TEXT无直接对应关系 - 真正要确认底层能力,应结合
OPENSSL_VERSION_NUMBER常量做位运算解析(如(OPENSSL_VERSION_NUMBER & 0xFF000000) >> 24取主版本)
用 extension_loaded('openssl') 先确认扩展是否可用
很多探针脚本一上来就调函数,却没检查扩展是否存在。如果 openssl 扩展被禁用(extension=openssl.so 注释掉,或 disable_functions 拦截了相关函数),后续所有检测都会失败或报错。
安全做法是分两步:先查扩展状态,再取版本信息。
- 检查扩展是否加载:
if (!extension_loaded('openssl')) { echo 'openssl extension not loaded'; } - 即使扩展加载了,也要防常量未定义(极少见,但 PHP 极小构建或 ZTS 冲突时可能发生):
if (!defined('OPENSSL_VERSION_TEXT')) { echo 'OpenSSL constants unavailable'; } - 某些 Docker 镜像(如
php:alpine)默认不带 OpenSSL 二进制,只带 PHP 扩展——此时OPENSSL_VERSION_TEXT有效,但系统命令openssl version会报command not found
别用 shell_exec('openssl version') 做主判断
调用系统命令看似直观,但隐患最多:权限限制(disable_functions 列表通常含 shell_exec)、路径不可控(PATH 不一致导致调到旧版或假命令)、容器环境无宿主机 OpenSSL、SELinux/AppArmor 拦截。
更麻烦的是,系统 OpenSSL 和 PHP 绑定的 OpenSSL 完全可能是两个不同版本(例如 PHP 静态链接了 LibreSSL,而系统装的是 OpenSSL 1.1.1)。此时命令返回的版本对 PHP 实际行为毫无参考价值。
- 仅建议作为辅助验证:
$cli_ver = shell_exec('openssl version 2>/dev/null'); echo trim($cli_ver); - 若
$cli_ver和OPENSSL_VERSION_TEXT不一致,说明环境存在混用风险,需人工排查 PHP 构建参数(如--with-openssl=/path) - 生产探针中,该命令应包裹在 try/catch 或条件判断里,绝不能作为唯一依据
OPENSSL_VERSION_TEXT 是唯一应默认信任的来源;其余方式都只是交叉验证手段。版本字符串里隐藏着 ABI 兼容性线索(比如含 fips 字样表示启用了 FIPS 模块),这些细节往往比单纯数字更重要。 
