XOR因可逆、零开销、流式处理快而适合轻量加密;须用二进制模式读写文件,密钥禁用C字符串,代码需防护空密钥、IO失败等异常。
用 XOR 实现轻量级文件加密,为什么选它?
XOR 是唯一能在不损失数据、不引入依赖、不增加体积的前提下完成“可逆混淆”的基础运算。它快(单字节一个异或指令)、零内存开销、支持流式处理,适合临时保护配置文件、日志片段或本地缓存——但别拿它防黑客,openssl enc -aes-256-cbc 才是正经加密。
实操建议:
- 密钥必须是
std::string或std::vector<uint8_t></uint8_t>,不能用 C 风格字符串(末尾'\0'会提前截断) - 对二进制文件直接按字节处理,别用
std::ifstream默认的文本模式(Windows 下会把\r\n转成\n,解密就错) - 密钥长度不固定,但重复使用同一密钥时,推荐用
std::rotate或取模轮换,避免固定偏移导致统计泄漏
如何安全打开/读写二进制文件(C++ ifstream / ofstream) C++ 默认以文本模式打开文件,Windows 下会悄悄转换换行符,Linux 虽无害但行为不一致。加密/解密必须全程二进制模式,否则加完再读出来内容已变。
实操建议:
- 打开输入文件:用
std::ifstream fin("data.bin", std::ios::binary) - 打开输出文件:用
std::ofstream fout("data.enc", std::ios::binary) - 读取时别用
fin >> buffer(跳过空白、截断),改用fin.read(reinterpret_cast<char>(&byte), 1)</char>或一次性fin.read(buf, size) - 写入前检查
fin.good()和fout.is_open(),但别依赖fin.eof()判断结束——它只在尝试读越界后才置位
简单 XOR 加密的完整代码片段(带错误防护)
这不是玩具代码,它处理了常见崩点:空文件、读写失败、密钥为空。
#include <fstream>
#include <vector>
#include <iostream>
bool xor_crypt(const std::string& in_path, const std::string& out_path, const std::string& key) {
if (key.empty()) return false;
std::ifstream fin(in_path, std::ios::binary);
std::ofstream fout(out_path, std::ios::binary);
if (!fin.is_open() || !fout.is_open()) return false;
std::vector<char> buf(4096);
size_t key_idx = 0;
while (fin.read(buf.data(), buf.size())) {
size_t n = static_cast<size_t>(fin.gcount());
for (size_t i = 0; i < n; ++i) {
buf[i] ^= key[key_idx++ % key.size()];
}
fout.write(buf.data(), n);
}
// 处理剩余不足 buf.size() 的尾部
if (fin.gcount() > 0) {
size_t n = static_cast<size_t>(fin.gcount());
fin.read(buf.data(), n); // 实际上 gcount 已反映上次读到的字节数,这行可省,但留着更直觉
for (size_t i = 0; i < n; ++i) {
buf[i] ^= key[key_idx++ % key.size()];
}
fout.write(buf.data(), n);
}
return fin.good() && fout.good();
}
注意:fin.gcount() 返回的是上一次 read() 实际读到的字节数,不是缓冲区大小;key[key_idx++ % key.size()] 是最简轮换,不用额外分配内存。
哪些场景下 XOR 会“看起来加密成功,其实毫无意义”
它不提供完整性校验、不隐藏文件长度、不抵抗已知明文攻击——只要攻击者猜到某段明文(比如 PNG 文件头是 "\x89PNG\r\n\x1a\n"),立刻能反推密钥片段。
典型翻车点:
立即学习“C++免费学习笔记(深入)”;
- 加密日志文件时用了固定密钥 + 固定偏移,结果所有
"ERROR"都变成同一串字节,被一眼识别出明文结构 - 用时间戳当密钥(如
std::to_string(time(nullptr))),但没做哈希,导致密钥太短且可预测 - 加密 SQLite 数据库文件,但没跳过文件头中的 magic number 区域,导致
sqlite3直接报"file is encrypted or is not a database"——其实只是头几个字节被 XOR 坏了
XOR 就只是个障眼法。真正该花时间的地方,是搞清数据生命周期和威胁模型。 
