手把手教学！PHP加密字符串的3种简单又安全的加密方法

PHP加密字符串是保障数据安全的关键环节，特别是用户密码等敏感信息。本文手把手教你3种安全又简单的PHP加密方案，从基础的md5()/sha1()哈希到进阶的crypt()加盐，再到PHP官方推荐的password_hash()，逐步提升安全级别。着重推荐使用password_hash()方法，因为它基于bcrypt或argon2算法，安全性高，能自动处理salt生成和迭代次数，并持续维护，有效防御彩虹表攻击。选择加密方案需根据实际安全需求，敏感数据务必采用password_hash()。本文还将探讨如何选择合适的加密算法，以及除了加密之外的其他安全措施，助你构建更安全的PHP应用。

PHP加密字符串推荐使用password_hash()方法。原因有三：1. 使用bcrypt或argon2算法，安全性高；2. 自动处理salt生成与迭代次数，避免人为错误；3. PHP官方推荐且持续维护。相较之下，md5()/sha1()易受彩虹表攻击，crypt()依赖服务器配置且安全性有限。选择加密方案应根据安全需求，敏感数据必须用password_hash()。

直接说吧，PHP加密字符串的方法很多，但安全系数各有不同。选择哪种，取决于你对安全性的要求和具体应用场景。

解决方案

PHP加密字符串，主要目标是防止数据泄露，比如用户密码、API密钥等等。以下三种方案，从简单到复杂，安全级别也逐步提高：

1. md5()/sha1()哈希：

   

   这是最基础的，也是最不推荐的。md5()和sha1()是单向哈希函数，这意味着你可以把字符串变成一串看似随机的字符，但无法还原。问题在于，现在网上有很多彩虹表，可以轻松破解简单的哈希值。而且，即使不破解，知道你用的是md5()，攻击者也能尝试各种已知密码的哈希值来比对。

   $string = "mysecretpassword";
   $hashed_string = md5($string);
   echo $hashed_string; // 输出类似：5ebe2294ecd0e81f08a52ab6bddc634

   结论：除非你只是想简单地混淆数据，否则别用。

2. crypt() + Salt：

   crypt()函数使用Unix密码加密方法。它比md5()/sha1()安全一点，因为它允许你添加一个“salt”。Salt是一段随机字符串，加在你的密码前面，然后再进行哈希。这样即使两个用户使用相同的密码，他们的哈希值也会不同，从而增加破解难度。

   $string = "mysecretpassword";
   $salt = bin2hex(random_bytes(16)); // 生成16字节的随机salt
   $hashed_string = crypt($string, '$2a$07$' . $salt); // 使用Blowfish算法
   echo $hashed_string; // 输出类似：$2a$07$5d41402abc4b2a76b9719d911017c592.52E38166.A0D0E7360D9

   重要：

   • crypt()使用的算法取决于你的服务器配置。确保使用安全的算法，比如Blowfish ($2a)。
   • 保存salt！验证密码时需要用到。
   • random_bytes()需要PHP 7+。旧版本可以使用mcrypt_create_iv()。

   结论：比md5()好，但仍然不够安全，尤其是在高安全要求的场景下。

3. password_hash() + password_verify()：

   这是PHP官方推荐的密码加密方式，也是目前最安全的。password_hash()使用bcrypt算法（或者更强的argon2，如果你的PHP版本支持），自动生成salt，并进行多次迭代哈希。password_verify()函数则用来验证密码，它会自动处理salt和哈希的细节。

   $string = "mysecretpassword";
   $hashed_string = password_hash($string, PASSWORD_DEFAULT); // 使用bcrypt算法
   echo $hashed_string; // 输出类似：$2y$10$E504738835129a22f9330u2uK0z4XJmG.78V5q4j1f8l7.f614
   // 验证密码
   if (password_verify($string, $hashed_string)) {
       echo "密码正确！";
   } else {
       echo "密码错误！";
   }

   优点：

   • 安全：bcrypt算法抗彩虹表攻击，且计算成本高，使得暴力破解变得困难。
   • 简单：password_hash()和password_verify()函数使用简单，易于理解。
   • 自适应：bcrypt算法可以根据硬件发展调整迭代次数，保证安全性。

   结论：强烈推荐！除非你有特殊需求，否则password_hash()是最佳选择。

如何选择合适的加密方案？

安全性需求是关键。如果只是为了防止用户看到一些不敏感的数据，crypt()可能就够了。但如果涉及到用户密码、支付信息等敏感数据，必须使用password_hash()。此外，也要考虑性能，bcrypt算法计算成本较高，在高并发场景下可能会影响性能。

除了加密，还有哪些安全措施可以保护字符串？

加密只是第一步。以下是一些额外的安全措施：

• 输入验证：在加密之前，验证用户输入的数据，防止SQL注入、XSS攻击等。
• 输出编码：在显示数据时，对特殊字符进行编码，防止XSS攻击。
• HTTPS：使用HTTPS协议加密网络传输，防止数据在传输过程中被窃取。
• 定期更新：保持PHP版本和相关库的更新，及时修复安全漏洞。
• 限制访问：限制对数据库和配置文件的访问权限，防止未经授权的访问。

password_hash()的算法选择有什么讲究？

password_hash()函数的第二个参数是算法选项。PASSWORD_DEFAULT是PHP推荐的默认算法，目前是bcrypt。但未来可能会更新为更安全的算法，所以使用PASSWORD_DEFAULT可以保证你的代码在未来仍然安全。如果你想明确指定算法，可以使用PASSWORD_BCRYPT或PASSWORD_ARGON2I（如果你的PHP版本支持）。PASSWORD_ARGON2I比bcrypt更安全，但计算成本也更高。

今天关于《手把手教学！PHP加密字符串的3种简单又安全的加密方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于安全,字符串,PHP加密,password_hash,bcrypt的内容请关注golang学习网公众号！