用 substr_replace() 做手机号、身份证号局部掩码最直接
大部分脱敏需求其实就两类:保留头尾几位,中间打星。比如 138****1234 或 110101******1234。PHP 自带的 substr_replace() 是最轻量、最可控的选择,不用引入额外依赖,也不怕正则写错。
常见错误是硬编码长度,比如直接写 substr_replace($id, '****', 6, 8) —— 身份证号在不同地区位数可能有差异(老证15位、新证18位),手机号也存在虚拟运营商号段变化。必须先校验格式再处理。
- 手机号:先用
preg_match('/^1[3-9]\d{9}$/', $phone)确认是标准11位,再substr_replace($phone, '****', 3, 4) - 身份证号:用
strlen($id) === 18 ? substr_replace($id, '****', 6, 8) : substr_replace($id, '****', 6, 6)区分新旧证 - 别用
str_replace()全局替换数字——会把地址、金额里的数字也干掉
处理姓名时别用固定截取,得看字数和编码
中文姓名可能是 2 字(张三)、3 字(欧阳修)、4 字(司马相如)甚至更长,且 UTF-8 下每个汉字占 3 字节。substr() 直接按字节切会乱码,mb_substr() 才是正确工具。
容易踩的坑是只做“保留首字 + 星号”,比如对“欧阳修”输出“欧**”,结果变成“欧**”(3 字符)或“欧*”(2 字符)不统一。更稳妥的做法是统一输出“姓 + **”,但得先分离姓氏——不能简单取第一个字符,复姓(诸葛、司马)要单独判断。
立即学习“PHP免费学习笔记(深入)”;
- 先用
mb_strlen($name, 'UTF-8')获取真实字符数 - 用
mb_substr($name, 0, 1, 'UTF-8')取首字符,再拼'**',例如mb_substr($name, 0, 1, 'UTF-8') . '**' - 如果业务允许,优先用预置复姓表匹配前两个字符,再决定掩码长度
json_encode() 输出前必须脱敏,否则白做
很多同学在数组里做完脱敏,最后 echo json_encode($data) 一输出,敏感字段又原样暴露了。PHP 的 json_encode() 不会自动跳过或重写字段,它只忠实地序列化当前值。
典型错误是脱敏逻辑写在控制器里,但模型层或 DTO 对象里还存着原始数据,返回前没清空或覆盖。尤其 ORM 查询结果直接转 JSON 时风险极高。
- 脱敏操作必须在
json_encode()调用之前完成,且作用于最终输出的数组副本 - 避免在对象属性上“改一半”:比如只改
$user->phone却忘了$user->id_card,结果 JSON 里一个脱敏一个没脱 - 如果用 Laravel/Eloquent,别依赖
toArray()默认行为;应在toArray()或jsonSerialize()方法里显式调用脱敏函数
日志里打点也要脱敏,error_log() 和 Monolog 都不免疫
开发时习惯用 error_log(print_r($request, true)) 查参,上线后这行代码可能把完整身份证号、银行卡号全记进日志文件。哪怕你接口返回已脱敏,日志仍是高危泄露点。
Monolog 默认不识别“敏感字段”,也不会自动过滤。它只会照单全收你传进去的数组或字符串。
- 记录前手动清理:用
unset($logData['id_card'], $logData['bank_card'])或替换为'[REDACTED]' - 不要依赖日志级别控制——
DEBUG日志照样能泄露,生产环境也得关掉或过滤 - 如果用
error_log(),确保传入的是已脱敏后的变量,而不是原始$_POST或$request对象
