PHP连接SSL加密MySQL方法详解

本文详细解析了PHP通过mysqli或PDO安全连接SSL加密MySQL数据库的完整流程，强调服务端SSL配置与客户端证书路径设置缺一不可——必须先确认MySQL服务端已启用SSL并获取正确的CA证书（ca.pem）及可选的客户端证书和私钥，再分别采用mysqli_init()+mysqli_options显式配置证书路径，或在PDO的DSN中严格配对sslmode与sslca等参数；文章特别指出常见误区，如误以为设置MYSQLI_CLIENT_SSL标志或仅指定sslmode即可启用加密，实则证书文件缺失或路径错误将导致连接静默失败，同时提醒生产环境中需根据证书类型合理选择VERIFY_CA或REQUIRED等验证模式，确保数据传输既加密又可信。

PHP 连接 SSL 加密的 MySQL 数据库，关键在 mysqli 或 PDO 的连接参数

PHP 本身不提供独立的 “phpssl” 扩展，所谓“PHP SSL 连 MySQL” 实际是让 mysqli 或 PDO 在建立 TCP 连接后，通过 MySQL 协议层启用 TLS/SSL 加密。是否加密、加密强度，完全取决于服务端配置 + 客户端显式启用。

确认 MySQL 服务端已启用 SSL 并导出必要证书文件

客户端无法凭空启用 SSL —— 必须先确认服务端支持，且你有可用的 CA 证书（ca.pem），可选的客户端证书（client-cert.pem）和私钥（client-key.pem）。常见错误：直接跳过这步，用本地自签名证书却没配对或路径写错。

• 登录 MySQL 执行 SHOW VARIABLES LIKE '%ssl%';，确认 have_ssl = YES 且 ssl_ca 指向有效路径
• 从 MySQL 服务端机器复制 ca.pem（必须），若服务端强制验证客户端身份，则还需 client-cert.pem 和 client-key.pem
• 证书文件需 PHP 进程有读取权限；路径推荐用绝对路径，避免相对路径在 CLI/Web 环境下行为不一致

mysqli 启用 SSL 的两种写法（推荐用数组形式传参）

mysqli 的 SSL 配置容易被忽略的是：必须同时设置 MYSQLI_OPT_SSL_CA（至少），否则即使加了 ssl=1 参数也无效。旧式字符串 DSN 方式（如 mysql:host=...;ssl=1）不生效。

// ✅ 推荐：使用 mysqli_init() + options 方式（可控、明确）
$mysqli = mysqli_init();
mysqli_options($mysqli, MYSQLI_OPT_SSL_CA, '/path/to/ca.pem');
mysqli_options($mysqli, MYSQLI_OPT_SSL_CERT, '/path/to/client-cert.pem'); // 可选
mysqli_options($mysqli, MYSQLI_OPT_SSL_KEY, '/path/to/client-key.pem');   // 可选
mysqli_real_connect($mysqli, 'host', 'user', 'pass', 'db', 3306, null, MYSQLI_CLIENT_SSL);

// ❌ 错误：以下写法不会启用 SSL 加密
// new mysqli('host', 'user', 'pass', 'db', 3306, null, MYSQLI_CLIENT_SSL);
// 因为未调用 mysqli_options 设置证书路径，MYSQLI_CLIENT_SSL 标志单独无效

PDO 连接时 sslmode 和证书路径必须成对出现

PDO 的 PDO::ATTR_SSL_MODE 是 MySQLi 没有的抽象层概念，但实际仍依赖底层证书文件。常见坑：只设 sslmode=REQUIRED 却没给 sslca，导致连接失败并报错 SSL connection error: SSL is required but the server doesn’t support it（其实是客户端没提供 CA）。

• 必需参数：sslca=/path/to/ca.pem；若服务端要求双向认证，再加 sslcert 和 sslkey
• sslmode 值建议用 VERIFY_CA（验证服务端证书签发者）或 REQUIRED（仅加密，不验证书）；VERIFY_IDENTITY 要求主机名匹配，生产环境慎用
• DSN 中不能写空格或换行，所有参数用分号连接，例如：mysql:host=db.example.com;port=3306;dbname=test;sslca=/etc/mysql/ca.pem;sslcert=/etc/mysql/client-cert.pem;sslkey=/etc/mysql/client-key.pem;sslmode=VERIFY_CA

最常被跳过的环节是服务端证书链校验 —— 如果 MySQL 用的是 Let’s Encrypt 或其他公信 CA 签发的证书，理论上可以不用传 ca.pem（PHP 会用系统根证书），但多数私有部署 MySQL 使用自签名或内网 CA，此时缺 ca.pem 就连不上，而且错误信息往往模糊，只会提示“Connection refused”或“SSL handshake failed”。

本篇关于《PHP连接SSL加密MySQL方法详解》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！