PHP對(duì)稱(chēng)加密-AES

對(duì)稱(chēng)加解密算法中，當(dāng)前最為安全的是 AES 加密算法（以前應(yīng)該是是 DES 加密算法），PHP 提供了兩個(gè)可以用于 AES 加密算法的函數(shù)簇： Mcrypt 和 OpenSSL 。

成都創(chuàng)新互聯(lián)公司主要業(yè)務(wù)有網(wǎng)站營(yíng)銷(xiāo)策劃、網(wǎng)站設(shè)計(jì)制作、網(wǎng)站設(shè)計(jì)、微信公眾號(hào)開(kāi)發(fā)、重慶小程序開(kāi)發(fā)、H5開(kāi)發(fā)、程序開(kāi)發(fā)等業(yè)務(wù)。一次合作終身朋友，是我們奉行的宗旨；我們不僅僅把客戶當(dāng)客戶，還把客戶視為我們的合作伙伴，在開(kāi)展業(yè)務(wù)的過(guò)程中，公司還積累了豐富的行業(yè)經(jīng)驗(yàn)、營(yíng)銷(xiāo)型網(wǎng)站資源和合作伙伴關(guān)系資源，并逐漸建立起規(guī)范的客戶服務(wù)和保障體系。 

其中 Mcrypt 在 PHP 7.1.0 中被棄用（The Function Mycrypt is Deprecated)，在 PHP 7.2.0 中被移除，所以即可起你應(yīng)該使用 OpenSSL 來(lái)實(shí)現(xiàn) AES 的數(shù)據(jù)加解密。

在一些場(chǎng)景下，我們不能保證兩套通信系統(tǒng)都使用了相函數(shù)簇去實(shí)現(xiàn)加密算法，可能 siteA 使用了最新的 OpenSSL 來(lái)實(shí)現(xiàn)了 AES 加密，但作為第三方服務(wù)的 siteB 可能仍在使用 Mcrypt 算法，這就要求我們必須清楚 Mcrypt 同 OpenSSL 之間的差異，以便保證數(shù)據(jù)加解密的一致性。

下文中我們將分別使用 Mcrypt 和 OpenSSL 來(lái)實(shí)現(xiàn) AES-128/192/256-CBC 加解密，二者同步加解密的要點(diǎn)為：

協(xié)同好以上兩點(diǎn)，就可以讓 Mcrypt 和 OpenSSL 之間一致性的對(duì)數(shù)據(jù)進(jìn)行加解密。

AES 是當(dāng)前最為常用的安全對(duì)稱(chēng)加密算法，關(guān)于對(duì)稱(chēng)加密這里就不在闡述了。

AES 有三種算法，主要是對(duì)數(shù)據(jù)塊的大小存在區(qū)別：

AES-128：需要提供 16 位的密鑰 key

AES-192：需要提供 24 位的密鑰 key

AES-256：需要提供 32 位的密鑰 key

AES 是按數(shù)據(jù)塊大小（128/192/256）對(duì)待加密內(nèi)容進(jìn)行分塊處理的，會(huì)經(jīng)常出現(xiàn)最后一段數(shù)據(jù)長(zhǎng)度不足的場(chǎng)景，這時(shí)就需要填充數(shù)據(jù)長(zhǎng)度到加密算法對(duì)應(yīng)的數(shù)據(jù)塊大小。

主要的填充算法有填充 NUL("0") 和 PKCS7，Mcrypt 默認(rèn)使用的 NUL("0") 填充算法，當(dāng)前已不被推薦，OpenSSL 則默認(rèn)模式使用 PKCS7 對(duì)數(shù)據(jù)進(jìn)行填充并對(duì)加密后的數(shù)據(jù)進(jìn)行了 base64encode 編碼，所以建議開(kāi)發(fā)中使用 PKCS7 對(duì)待加密數(shù)據(jù)進(jìn)行填充，已保證通用性（alipay sdk 中雖然使用了 Mcrypt 加密簇，但使用 PKCS7 算法對(duì)數(shù)據(jù)進(jìn)行了填充，這樣在一定程度上親和了 OpenSSL 加密算法）。

Mcrypt 的默認(rèn)填充算法。NUL 即為 Ascii 表的編號(hào)為 0 的元素，即空元素，轉(zhuǎn)移字符是 "\0"，PHP 的 pack 打包函數(shù)在 'a' 模式下就是以 NUL 字符對(duì)內(nèi)容進(jìn)行填充的，當(dāng)然，使用 "\0" 手動(dòng)拼接也是可以的。

OpenSSL的默認(rèn)填充算法。下面我們給出 PKCS7 填充算法 PHP 的實(shí)現(xiàn)：

默認(rèn)使用 NUL("\0") 自動(dòng)對(duì)待加密數(shù)據(jù)進(jìn)行填充以對(duì)齊加密算法數(shù)據(jù)塊長(zhǎng)度。

獲取 mcrypt 支持的算法，這里我們只關(guān)注 AES 算法。

注意：mcrypt 雖然支持 AES 三種算法，但除 MCRYPT_RIJNDAEL_128 外， MCRYPT_RIJNDAEL_192/256 并未遵循 AES-192/256 標(biāo)準(zhǔn)進(jìn)行加解密的算法，即如果你同其他系統(tǒng)通信（java/.net），使用 MCRYPT_RIJNDAEL_192/256 可能無(wú)法被其他嚴(yán)格按照 AES-192/256 標(biāo)準(zhǔn)的系統(tǒng)正確的數(shù)據(jù)解密。官方文檔頁(yè)面中也有人在 User Contributed Notes 中提及。這里給出如何使用 mcrpyt 做標(biāo)注的 AES-128/192/256 加解密

即算法統(tǒng)一使用 MCRYPT_RIJNDAEL_128 ，并通過(guò) key 的位數(shù) 來(lái)選定是以何種 AES 標(biāo)準(zhǔn)做的加密，iv 是建議添加且建議固定為16位（OpenSSL的 AES加密 iv 始終為 16 位，便于統(tǒng)一對(duì)齊），mode 選用的 CBC 模式。

mcrypt 在對(duì)數(shù)據(jù)進(jìn)行加密處理時(shí)，如果發(fā)現(xiàn)數(shù)據(jù)長(zhǎng)度與使用的加密算法的數(shù)據(jù)塊長(zhǎng)度未對(duì)齊，則會(huì)自動(dòng)使用 "\0" 對(duì)待加密數(shù)據(jù)進(jìn)行填充，但 "\0" 填充模式已不再被推薦，為了與其他系統(tǒng)有更好的兼容性，建議大家手動(dòng)對(duì)數(shù)據(jù)進(jìn)行 PKCS7 填充。

openssl 簇加密方法更為簡(jiǎn)單明確，mcrypt 還要將加密算法分為 cipher + mode 去指定，openssl 則只需要直接指定 method 為 AES-128-CBC，AES-192-CBC，AES-256-CBC 即可。且提供了三種數(shù)據(jù)處理模式，即 默認(rèn)模式 0 / OPENSSL_RAW_DATA / OPENSSL_ZERO_PADDING 。

openssl 默認(rèn)的數(shù)據(jù)填充方式是 PKCS7，為兼容 mcrpty 也提供處理 "0" 填充的數(shù)據(jù)的模式，具體為下：

options 參數(shù)即為重要，它是兼容 mcrpty 算法的關(guān)鍵：

options = 0 : 默認(rèn)模式，自動(dòng)對(duì)明文進(jìn)行 pkcs7 padding，且數(shù)據(jù)做 base64 編碼處理。

options = 1 : OPENSSL_RAW_DATA，自動(dòng)對(duì)明文進(jìn)行 pkcs7 padding， 且數(shù)據(jù)未經(jīng) base64 編碼處理。

options = 2 : OPENSSL_ZERO_PADDING，要求待加密的數(shù)據(jù)長(zhǎng)度已按 "0" 填充與加密算法數(shù)據(jù)塊長(zhǎng)度對(duì)齊，即同 mcrpty 默認(rèn)填充的方式一致，且對(duì)數(shù)據(jù)做 base64 編碼處理。注意，此模式下 openssl 要求待加密數(shù)據(jù)已按 "0" 填充好，其并不會(huì)自動(dòng)幫你填充數(shù)據(jù)，如果未填充對(duì)齊，則會(huì)報(bào)錯(cuò)。

故可以得出 mcrpty簇 與 openssl簇 的兼容條件如下：

建議將源碼復(fù)制到本地運(yùn)行，根據(jù)運(yùn)行結(jié)果更好理解。

1.二者使用的何種填充算法。

2.二者對(duì)數(shù)據(jù)是否有 base64 編碼要求。

3.mcrypt 需固定使用 MCRYPT_RIJNDAEL_128，并通過(guò)調(diào)整 key 的長(zhǎng)度 16, 24，32 來(lái)實(shí)現(xiàn) ase-128/192/256 加密算法。

PHP文件果真如你所說(shuō)，無(wú)法加密的嗎？

肯定的回答你，PHP無(wú)法加密，真正可以加密的是CGI（其實(shí)是二進(jìn)制代碼，WINDOWS下就是EXE文件），CGI的破解困難得多，但是沒(méi)有理論上無(wú)法破解的東西。

對(duì)于PHP代碼的機(jī)密啊，有一個(gè)死招，就是自己定做一套PHP系統(tǒng)，修改PHP的源程序，例如替換里面關(guān)鍵字、函數(shù)名稱(chēng)，以后你的程序只有在該P(yáng)HP環(huán)境下才能正常執(zhí)行，其它平臺(tái)下就報(bào)告語(yǔ)法錯(cuò)誤，然后對(duì)你編譯的PHP。EXE進(jìn)行加密。

php源碼怎么加密

一、無(wú)需任何PHP擴(kuò)展的加密

此類(lèi)加密的代表有 威盾PHP加密專(zhuān)家、PHP在線加密平臺(tái)、PHP神盾 等。

此類(lèi)加密都是以eval函數(shù)為核心，輔以各式各樣的字符串混淆和各種小技巧，來(lái)達(dá)到加密目的（更準(zhǔn)確的說(shuō)，應(yīng)該算是混淆）。下面以一個(gè)簡(jiǎn)單的hello world為例來(lái)說(shuō)明此類(lèi)加密的大體過(guò)程。

?php

echo "hello world";

首先 ，我們把這段代碼變?yōu)橥ㄟ^(guò)eval執(zhí)行的

?php

eval('echo "hello world";');

然后 ，我們?cè)龠M(jìn)行一些轉(zhuǎn)換，比如說(shuō)base64編碼

?php

eval(base64_decode('ZWNobyAiaGVsbG8gd29ybGQiOw=='));

就這樣子，我們的第一個(gè)加密過(guò)的php代碼新鮮出爐了。。。

上面這個(gè)例子非常非常簡(jiǎn)單，基本上任何有一點(diǎn)php語(yǔ)言基礎(chǔ)甚至別的語(yǔ)言基礎(chǔ)的人都能輕松的看懂并解密。因此，我們需要一些方法讓這個(gè)加密至少看上去不是那么簡(jiǎn)單。

二、同時(shí)采用多種編碼函數(shù)

除了剛才提到的base64，php還有許多內(nèi)置的編碼函數(shù)，例如urlencode、gzcompress等。把這些函數(shù)混合使用可以提高解密的復(fù)雜度（不是難度），此外還可以使用strtr來(lái)制定自己的編碼規(guī)則。 使用變量來(lái)代替函數(shù)名 使用特定字符來(lái)命名變量

這兒所說(shuō)的特定字符是一些極其相似的字符，如I和1，0和O。試想一下滿屏都是O和0組成的變量，并且每一個(gè)的名字長(zhǎng)度都在10個(gè)字符以上。。。 判斷文件自身是否被修改

這個(gè)功能看似容易，對(duì)文件做一下摘要再進(jìn)行下對(duì)比即可知道是否被修改了，但是如何才能在文件內(nèi)把摘要嵌入進(jìn)去呢？我沒(méi)有找到完美的方案，但一個(gè)變通的方案還是很容易的。。。

?php

$code = substr(file_get_contents(__FILE__), 0, -32);

$hash = substr(file_get_contents(__FILE__), -32);

if (md5($code) !== $hash) {

exit('file edited');

}

ACBC41F727E00F85BEB3440D751BB4E3

當(dāng)然，你可以把這個(gè)校驗(yàn)字符串放在別的位置來(lái)提高破解的難度。有了這個(gè)，別人想破解你的程序可就得多費(fèi)一點(diǎn)功夫了。。。

既然知道了原理，那解密自然也就非常簡(jiǎn)單了，總體來(lái)說(shuō)就三步：

把eval替換為輸出，比如echo 根據(jù)編碼規(guī)則把字符串還原 如果文件未解密完全，從第一步開(kāi)始繼續(xù)

當(dāng)然，實(shí)際上的解密過(guò)程并沒(méi)有這么簡(jiǎn)單，比如說(shuō)如果加密的時(shí)候使用了gzcompress，那得到的數(shù)據(jù)將會(huì)包含一些二進(jìn)制數(shù)據(jù)，而采用一般的文本編輯器打開(kāi)時(shí)這些數(shù)據(jù)都會(huì)顯示為亂碼，并且在保存時(shí)丟失部分?jǐn)?shù)據(jù)。解決方法很簡(jiǎn)單也很麻煩，那就是使用二進(jìn)制（16進(jìn)制）方式打開(kāi)、修改和保存。

用php將密碼存入數(shù)據(jù)庫(kù)，用什么方法進(jìn)行加密?

題主你可以使用 md5 或者 sha1 進(jìn)行初步處理，但為了更加安全，請(qǐng)你同時(shí)加上兩個(gè) salt，一個(gè)靜態(tài) salt，一個(gè)動(dòng)態(tài)的 salt。以 md5 為例：\x0d\x0a假設(shè)通過(guò) POST 傳來(lái)的密碼為 $_POST['password']，在存入 DB 前先進(jìn)行如下的操作：\x0d\x0a$password = hash('md5', $_POST['password'].$staticSalt.$dynamicSalt);\x0d\x0a\x0d\x0a為了保證動(dòng)態(tài) salt 的唯一性，可以這樣操作：\x0d\x0a$dynamicSalt = hash('md5', microtime());\x0d\x0a\x0d\x0a對(duì)于動(dòng)態(tài)的 salt 可以與生成的密碼一起保存在 DB 中，而靜態(tài) salt 則可以直接放在類(lèi)文件中（例如定義為一個(gè)靜態(tài)屬性即可）。\x0d\x0a首先謝謝題主采納了我的答案，但是我之前的回答并不是最佳答案，之所以有此加密的想法源于自己所讀的源碼可能比較老，所以并沒(méi)使用上較新版本的加密方法，例如 bcrypt等。\x0d\x0a此外，第二點(diǎn)，感謝評(píng)論中幾位前輩的提點(diǎn)，已經(jīng)明白設(shè)置靜態(tài) salt 的意義并不大，生成一個(gè)較長(zhǎng)的動(dòng)態(tài) salt 已然可以解決問(wèn)題。\x0d\x0a\x0d\x0aLZ應(yīng)該采用加鹽HASH。\x0d\x0a如何“腌制”密碼呢？\x0d\x0a=_,=\x0d\x0a正確的格式應(yīng)該是，用戶password+動(dòng)態(tài)的salt\x0d\x0a動(dòng)態(tài)的salt不能像2L所說(shuō)的，使用microtime，因?yàn)闀r(shí)間在某些情況下不夠隨機(jī)，而且是可能被猜解的。\x0d\x0a這里推薦一個(gè)我用的加鹽HASH\x0d\x0a$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));\x0d\x0a$password=sha1($register_password.$salt);\x0d\x0a\x0d\x0a解釋:\x0d\x0a首先使用mcrypt，產(chǎn)生電腦隨機(jī)生成的，專(zhuān)門(mén)用戶加密的隨機(jī)數(shù)函數(shù)。\x0d\x0a第二步，把得到的隨機(jī)數(shù)通過(guò)base64加密，使其變長(zhǎng)并且不利于猜解。\x0d\x0a第三步，把得出的鹽拼接到密碼的后面，再對(duì)其使用sha1進(jìn)行哈希\x0d\x0a再把password存入到用戶的數(shù)據(jù)庫(kù)。\x0d\x0aPS：為何不用靜態(tài)的salt？沒(méi)有必要，使用一個(gè)動(dòng)態(tài)隨機(jī)足夠長(zhǎng)的鹽足矣。\x0d\x0a為何不用MD5？因?yàn)殚L(zhǎng)度不夠。\x0d\x0a為何沒(méi)有使用多次HASH？因?yàn)檫@樣反而容易發(fā)生碰撞。\x0d\x0aHASH好之后怎么使用“腌制”好的密碼？\x0d\x0a用戶注冊(cè)-提交密碼-產(chǎn)生salt-腌制好的密碼存入數(shù)據(jù)庫(kù)-salt存入數(shù)據(jù)庫(kù)。\x0d\x0a用戶登錄-提交密碼-調(diào)用salt接到提交密碼的后面-進(jìn)行HASH-調(diào)用之前注冊(cè)腌制好的密碼-對(duì)比HASH值是否和這個(gè)密碼相同

文章題目：php可以加密數(shù)據(jù)嗎 php最好的加密方式
轉(zhuǎn)載源于：http://chinadenli.net/article38/doedosp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、面包屑導(dǎo)航、定制開(kāi)發(fā)、網(wǎng)站制作、虛擬主機(jī)、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)