php加密解密应优先使用openssl_encrypt/decrypt(aes)、sodium_crypto_secretbox(aead)或password_hash/verify(密码哈希),避免已废弃的mcrypt;需确保扩展启用、密钥iv/nonce安全生成且严格匹配。
如果您在PHP开发中需要对敏感数据进行加密和解密操作,但不确定如何正确调用内置或自定义的加密解密函数,则可能是由于未明确函数参数结构、缺少扩展支持或混淆了不同算法的使用方式。以下是调用PHP加密解密函数的具体步骤:
一、使用openssl_encrypt/openssl_decrypt进行AES加密解密
该方法基于OpenSSL扩展,支持AES-128-CBC、AES-256-GCM等主流对称加密算法,需确保php_openssl扩展已启用。密钥与初始化向量(IV)必须严格匹配,且IV需随机生成并随密文一同保存或传输。
1、生成32字节密钥:使用openssl_random_pseudo_bytes(32)获取安全随机密钥。
2、生成16字节IV:调用openssl_random_pseudo_bytes(16)生成初始化向量。
立即学习“PHP免费学习笔记(深入)”;
3、执行加密:调用openssl_encrypt($data, 'AES-256-CBC', $key, 0, $iv),返回base64编码密文。
4、执行解密:使用相同密钥与IV,调用openssl_decrypt($encrypted, 'AES-256-CBC', $key, 0, $iv)还原原文。
二、使用sodium_crypto_secretbox/sodium_crypto_secretbox_open进行密钥盒加解密
该方法依赖Sodium扩展(PHP 7.2+默认内置),提供认证加密(AEAD),可同时保证机密性与完整性。无需手动管理IV,因nonce自动嵌入并由函数内部处理,失败时直接返回false而非错误数据。
1、检查扩展可用性:执行extension_loaded('sodium')确认Sodium已启用。
2、生成密钥:调用sodium_crypto_secretbox_keygen()获得32字节密钥。
3、生成nonce:使用sodium_crypto_secretbox_noncegen()生成24字节随机nonce。
4、加密数据:传入明文、nonce和密钥至sodium_crypto_secretbox($message, $nonce, $key)。
5、解密数据:将密文、nonce和密钥传入sodium_crypto_secretbox_open($ciphertext, $nonce, $key),验证通过后返回原文。
三、使用password_hash/password_verify实现密码安全存储与校验
该方法专用于用户密码处理,采用bcrypt或Argon2i/Argon2id算法,自动处理盐值生成、迭代次数及格式封装,不可逆向解密,仅支持单向校验,杜绝明文密码存储风险。
1、哈希密码:调用password_hash($password, PASSWORD_ARGON2ID)生成含盐哈希字符串。
2、校验密码:将用户输入密码与数据库中存储的哈希值传入password_verify($input, $hash),返回布尔结果。
3、验证哈希兼容性:使用password_needs_rehash($hash, PASSWORD_ARGON2ID)判断是否需更新算法参数后重新哈希。
四、使用mcrypt系列函数(已废弃,仅作兼容参考)
mcrypt扩展在PHP 7.1中被标记为废弃,7.2起完全移除,若旧项目仍依赖此扩展,必须迁移至OpenSSL或Sodium。其调用逻辑依赖显式指定算法、模式、密钥与IV,且不提供认证机制,易受填充预言攻击。
1、确认扩展存在:执行extension_loaded('mcrypt'),返回true方可继续。
2、打开模块:调用mcrypt_module_open(MCRYPT_RIJNDAEL_128, '', MCRYPT_MODE_CBC, '')初始化加密模块。
3、生成IV:使用mcrypt_create_iv(mcrypt_enc_get_iv_size($td), MCRYPT_DEV_URANDOM)获取IV。
4、执行加解密:分别调用mcrypt_generic($td, $data)和mdecrypt_generic($td, $encrypted)完成操作。
5、关闭模块:调用mcrypt_module_close($td)释放资源。
