pci dss严禁php直接处理原始卡号和cvv,必须由前端或专用sdk完成加密/令牌化,php仅透传合规token;本地加密仅限非敏感字段且须用aes-256-gcm、密钥不硬编码、iv随机生成。

PCI DSS 不允许 PHP 直接处理原始卡号和 CVV
直接在 PHP 应用里接收、解密、拼接或日志记录 card_number、cvv、expiry_month、expiry_year 属于严重违规。PCI DSS 要求:这些字段必须在进入你的服务器前就被加密(或更优——根本不在你系统中落地)。PHP 层唯一该做的,是透传加密后的令牌(token)或密文,交给合规的支付网关(如 Stripe、Adyen、支付宝 PCIDSS 认证通道)处理。
PHP 里能合法操作的「加密」仅限于 tokenization 或 AES 加密脱敏字段
如果你必须在 PHP 端做本地加解密(例如对持卡人姓名、邮箱、地址等非敏感但需防篡改的字段),只能使用强算法 + 严格密钥管理:
-
openssl_encrypt()和openssl_decrypt()是首选,必须用AES-256-GCM模式(带认证),不能用 ECB、CBC 无认证模式 - 密钥绝不能硬编码在代码里,应从环境变量(
$_ENV['ENCRYPTION_KEY'])或密钥管理服务(如 HashiCorp Vault)加载 - IV 必须每次随机生成,与密文一起存储(如 JSON:
{"ciphertext":"...","iv":"...","tag":"..."}),不可复用 - 对
card_holder_name这类字段可加密,但card_number即使 AES 加密后也仍属“存储了敏感认证数据”,仍违反 PCI DSS §4.1
常见错误:把 base64_encode() 或简单 XOR 当加密
这些不是加密,只是编码或混淆,完全不满足 PCI DSS 的“强加密”定义(§4.1)。审计时会被直接判为失败:
-
base64_encode($card_number)→ 可秒级逆向,等同明文 -
md5($card_number)或sha256($card_number)→ 不可逆,但无法还原,无法用于后续支付,且哈希碰撞风险+彩虹表可破解短卡号 - 自己写的
xor_with_secret()→ 无语义安全、无扩散性、密钥易被侧信道提取
所有这类操作在 PCI QSA 审计中都会被标记为“未实施强加密”,整改成本远高于初期接入合规 tokenization。
立即学习“PHP免费学习笔记(深入)”;
真正合规的路径:让前端或专用 SDK 完成加密/令牌化
PHP 后端只接收并转发 token,不碰原始卡信息:
- 前端用 Stripe Elements / Adyen Web Components / 支付宝 JS SDK 输入框,卡号输入即被加密并换为
tok_***或pi_***类 token,PHP 只收这个字符串 - 若需自建收银台,必须用 PCI-validated 的 iFrame(如 Stripe Checkout、Adyen Hosted Payment Pages),确保卡数据永不经过你的域名和服务器内存
- PHP 接口收到 token 后,调用支付网关 API(如
stripe.charges.create())时直接传 token,不拼接、不解密、不记录原始字段
最常被忽略的一点:哪怕你用了 AES-256-GCM 加密了 card_number,只要它曾以明文形式出现在 PHP 的 $_POST、error_log()、APM trace、或数据库字段中,就已触发 PCI DSS §4.1 违规——加密不是免责符,而是禁止接触的刚性边界。











