首页 > 文章 > php教程

PHP中AES加密解密实现全解析

时间：2025-07-14 15:36:29 271浏览收藏

本文详细讲解了如何使用 PHP 实现 AES 加密解密，并着重强调了安全实现的关键细节，避免直接套用 `openssl_encrypt` 函数的常见误区。文章从实际使用角度出发，深入探讨了加密模式（如 CBC、GCM）的选择、PKCS7 填充方式的应用，以及密钥管理的最佳实践，强调密钥不应硬编码，推荐使用 32 位随机字符串并通过环境变量管理。此外，文章还提到每次加密生成新 IV 并随密文传输，以及加密结果使用 base64 编码存储或传输的建议，可选的 HMAC 校验数据完整性也进行了说明。通过本文，读者可以全面了解 PHP AES 加密的正确姿势，提升数据安全性。

要安全实现 PHP 的 AES 加密，需注意加密模式、填充方式和密钥管理。1. 选择合适的加密模式如 CBC 或 GCM，避免使用 ECB；2. 使用 PKCS7 填充方式，并确保加密前填充、解密后去填充；3. 密钥不应硬编码，推荐使用 32 位随机字符串并通过环境变量等方式管理；4. 每次加密生成新 IV 并随密文传输；5. 加密结果建议用 base64 编码存储或传输；6. 可选 HMAC 校验数据完整性。

怎样用PHP实现AES加密？安全加密解密方法

在用 PHP 实现 AES 加密时，很多人会直接去搜“怎么用 openssl_encrypt”，但真正需要注意的其实是加密模式、填充方式和密钥管理这些细节。下面我从实际使用角度出发，说几个关键点和操作建议。

使用 openssl 扩展进行 AES 加密

PHP 中最常用的 AES 加密方式是通过 openssl_encrypt 和 openssl_decrypt 函数来完成。这两个函数支持多种加密算法和模式，包括 AES-128-CBC、AES-256-CBC 等。

基本示例：

$data = "要加密的内容";
$key = "your-secret-key-12"; // 密钥长度必须符合 AES 要求（如 16 字节）
$iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length('aes-256-cbc'));

$encrypted = openssl_encrypt($data, 'aes-256-cbc', $key, 0, $iv);
$decrypted = openssl_decrypt($encrypted, 'aes-256-cbc', $key, 0, $iv);

注意：

$key 必须是 16、24 或 32 字节长，对应 AES-128、AES-192、AES-256。
$iv 是初始化向量，用于 CBC 模式，每次加密应不同，并需要保存或传输。
加密后的数据默认是 base64 编码的字符串。

加密模式与填充方式的选择

AES 支持多种加密模式，比如 ECB、CBC、GCM 等。其中：

ECB 是最简单的，但不推荐，因为相同的明文块会生成相同的密文，容易被分析。
CBC 更安全，但需要 IV，且不能并行解密。
GCM 支持认证加密，适合网络通信等场景。

填充方式方面，通常使用 PKCS7 填充（PHP 的 openssl 默认使用 PKCS7）。

如果你自己实现填充逻辑，记得加密前补足明文长度，解密后去掉填充内容。例如，在 CBC 模式下：

function pkcs7_pad($data, $size) {
    $pad = $size - (strlen($data) % $size);
    return $data . str_repeat(chr($pad), $pad);
}

function pkcs7_unpad($data) {
    $pad = ord($data[strlen($data) - 1]);
    if ($pad > strlen($data)) return false;
    if (substr($data, -$pad) !== str_repeat(chr($pad), $pad)) return false;
    return substr($data, 0, -$pad);
}

安全性注意事项

加密不是随便找个函数调用一下就万事大吉的事情，有几个常见误区需要注意：

不要硬编码密钥：把密钥写死在代码里是非常危险的行为。应该通过配置文件、环境变量等方式管理。
IV 不需要保密，但不能重复使用：特别是在 CBC 模式中，每次加密都应生成新的随机 IV，并随密文一起传输。
避免使用弱密钥：比如只用英文单词做密钥。推荐使用 32 位的随机字符串作为 AES-256 的密钥。
加密结果尽量用 base64 存储或传输：这样可以避免特殊字符带来的问题。
加密前后要做完整性校验（可选）：可以配合 HMAC 来验证数据是否被篡改。

基本上就这些。用 PHP 实现 AES 加密本身不复杂，但要真正用得安全，就得关注加密模式、密钥管理和填充方式这些细节。

今天关于《PHP中AES加密解密实现全解析》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！