php如何加密解密

PHP 加密与解密全解析：从基础到实践**

在Web开发中，数据安全是至关重要的一环，PHP作为广泛使用的服务器端脚本语言，提供了多种加密和解密方法，以满足不同层次的安全需求，本文将详细介绍PHP中常用的加密解密技术，包括对称加密、非对称加密、哈希算法以及一些实用的内置函数，并辅以代码示例,帮助开发者更好地理解和应用。

理解加密与解密的基本概念

在代码之前,我们先明确几个基本概念：

加密：将明文数据通过特定算法（加密算法）和密钥转换成密文的过程,目的是防止未经授权的访问者读取。
解密：将密文通过相应的解密算法和密钥还原成明文的过程。
密钥：加密和解密过程中使用的一串字符,是控制加密算法和解密算法的重要参数。
对称加密：加密和解密使用相同密钥的加密方式，优点是速度快，适合大量数据；缺点是密钥分发和管理困难。
非对称加密：加密和解密使用不同密钥（公钥和私钥）的加密方式，公钥用于加密，私钥用于解密，优点是安全性高，密钥分发相对容易；缺点是速度较慢。
哈希算法：将任意长度的数据映射为固定长度的值（哈希值或摘要），它是一种单向加密，不可逆,主要用于数据完整性校验和密码存储。

PHP中常用的加密解密方法

对称加密

PHP中最常用的对称加密扩展是 OpenSSL 和 Mcrypt（注意：Mcrypt 自PHP 7.1.0起已废弃，推荐使用 OpenSSL）。

使用 OpenSSL 进行 AES 加密解密

AES（Advanced Encryption Standard）是一种广泛使用的对称加密标准。

/**
 * 使用 OpenSSL 进行 AES 加密
 * @param string $data 要加密的数据
 * @param string $key 加密密钥（16, 24, 或 32 字符长，对应 AES-128, AES-192, AES-256）
 * @param string $iv 初始化向量 (IV) 16 字符长
 * @return string|false 加密后的字符串或失败时 false
 */
function opensslEncrypt($data, $key, $iv) {
    $encrypted = openssl_encrypt($data, 'AES-256-CBC', $key, OPENSSL_RAW_DATA, $iv);
    if ($encrypted === false) {
        return false;
    }
    // 将加密后的二进制数据转换为 base64 编码，方便存储和传输
    return base64_encode($encrypted);
}
/**
 * 使用 OpenSSL 进行 AES 解密
 * @param string $encryptedData 加密并 base64 编码的数据
 * @param string $key 解密密钥（必须与加密时相同）
 * @param string $iv 初始化向量 (IV)（必须与加密时相同）
 * @return string|false 解密后的原始数据或失败时 false
 */
function opensslDecrypt($encryptedData, $key, $iv) {
    // 先 base64 解码
    $data = base64_decode($encryptedData);
    if ($data === false) {
        return false;
    }
    $decrypted = openssl_decrypt($data, 'AES-256-CBC', $key, OPENSSL_RAW_DATA, $iv);
    return $decrypted;
}
// 示例使用
$originalData = "这是一段需要加密的敏感信息。";
$key = '这是一个16字节长的密钥'; // 16字节 (AES-128)
// $key = '这是一个24字节长的密钥'; // 24字节 (AES-192)
// $key = '这是一个32字节长的密钥'; // 32字节 (AES-256)
$iv = '1234567890123456'; // 16字节 IV
$encrypted = opensslEncrypt($originalData, $key, $iv);
echo "加密后: " . $encrypted . "\n";
$decrypted = opensslDecrypt($encrypted, $key, $iv);
echo "解密后: " . $decrypted . "\n";
if ($originalData === $decrypted) {
    echo "加密解密测试成功！\n";
} else {
    echo "加密解密测试失败！\n";
}

关键点说明：

加密算法：'AES-256-CBC' 表示使用AES-256算法，CBC模式，CBC模式需要初始化向量（IV）。
密钥 (key)：长度必须与算法匹配，AES-256需要32字节（256位）密钥,务必妥善保管密钥！
初始化向量 (IV)：长度通常为16字节（AES-128/256的块大小），IV不需要保密，但必须与加密时使用的IV一致，并且最好是随机的（可以使用 openssl_random_pseudo_bytes() 生成）。
OPENSSL_RAW_DATA：表示输出原始二进制数据，而不是默认的base64编码，之后我们手动用 base64_encode 处理,方便存储。
Base64 编码：加密结果是二进制数据，直接存储或传输可能有字符问题,通常用base64编码。

非对称加密

PHP的 OpenSSL 扩展也支持非对称加密,常用算法如RSA。

使用 OpenSSL 进行 RSA 加密解密

// 生成 RSA 密钥对（通常只需生成一次，并妥善保存私钥）
$config = [
    "digest_alg" => "sha512",
    "private_key_bits" => 4096,
    "private_key_type" => OPENSSL_KEYTYPE_RSA,
];
$keyPair = openssl_pkey_new($config);
openssl_pkey_export($keyPair, $privateKey);
$publicKey = openssl_pkey_get_details($keyPair)["key"];
// 公钥加密，私钥解密
$originalData = "使用RSA加密的测试数据。";
// 公钥加密
openssl_public_encrypt($originalData, $encryptedData, $publicKey);
$encryptedBase64 = base64_encode($encryptedData);
echo "RSA 公钥加密后: " . $encryptedBase64 . "\n";
// 私钥解密
$encryptedData = base64_decode($encryptedBase64);
openssl_private_decrypt($encryptedData, $decryptedData, $privateKey);
echo "RSA 私钥解密后: " . $decryptedData . "\n";
// 验证
if ($originalData === $decryptedData) {
    echo "RSA 加密解密测试成功！\n";
} else {
    echo "RSA 加密解密测试失败！\n";
}

关键点说明：

密钥对：包括公钥（可以公开）和私钥（必须保密）。
公钥加密：只能用对应的私钥解密。
私钥加密：只能用对应的公钥解密（较少用，通常用于签名）。
RSA 速度慢：不适合加密大量数据,通常用于加密对称加密的密钥或少量敏感数据。

哈希算法（单向加密）

哈希算法不是加密解密，而是生成数据的“指纹”,常用于密码存储和数据完整性校验。

使用 password_hash() 和 password_verify() 处理密码

PHP 提供了专门用于密码哈希的函数，它们内部使用了强大的算法（如 bcrypt）和盐值。

$password = "user_password_123";
// 哈希密码（用于存储）
$hashedPassword = password_hash($password, PASSWORD_DEFAULT);
echo "密码哈希值: " . $hashedPassword . "\n";
// 验证密码（用户登录时）
$loginPassword = "user_password_123"; // 假设这是用户输入的密码
if (password_verify($loginPassword, $hashedPassword)) {
    echo "密码验证成功！\n";
} else {
    echo "密码验证失败！\n";
}
// 验证错误密码
$wrongPassword = "wrong_password";
if (password_verify($wrongPassword, $hashedPassword)) {
    echo "密码验证成功！\n";
} else {
    echo "密码验证失败！（预期结果）\n";
}

关键点说明：

password_hash()：自动生成盐值并使用当前推荐的最佳哈希算法（如 bcrypt, Argon2）。PASSWORD_DEFAULT 会自动更新到更新的算法。
password_verify()：验证用户提供的密码是否与存储的哈希值匹配,它会自动提取盐值并进行哈希比较。
不可逆：无法从哈希值反推出原始密码。
加盐：盐值是随机的字符串，确保即使两个用户密码相同，其哈希值也不同,防止彩虹表攻击。

其他哈希函数：