PHP连接PostgreSQL是否开启SSL？配置方法全解析

PHP通过pg_connect()连接PostgreSQL时默认使用明文传输，必须显式配置sslmode参数（如require、verify-full等）才能启用SSL加密，仅服务端开启SSL并不足以保障安全；最简方式是在连接字符串中添加sslmode=require，但要真正确认加密生效，还需通过查询pg_stat_ssl视图验证，并确保服务端postgresql.conf中ssl=on且pg_hba.conf包含正确的hostssl访问规则——忽视这些细节可能导致看似成功的连接实则全程裸奔，而问题根源往往不在PHP代码，而在证书有效性、路径权限或服务端策略匹配上。

PHP 的 pg_connect() 默认不启用 SSL

除非显式配置，pg_connect() 建立的连接走的是明文 TCP，即使 PostgreSQL 服务端已开启 SSL 支持。客户端不会自动协商或降级尝试 SSL，必须在连接字符串或选项数组中明确声明 SSL 相关参数。

连接字符串里加 sslmode=require 是最简方式

这是最小可行配置，适用于大多数开发和测试场景，只要服务端证书合法（或自签名但客户端信任），就能建立加密连接：

pg_connect("host=10.0.1.5 port=5432 dbname=test user=app sslmode=require");

常见可选值及含义：

• disable：完全禁用 SSL（默认值）
• require：强制加密，不验证证书链（适合内网+自签名）
• verify-full：校验主机名 + 完整证书链（需配 sslrootcert）
• verify-ca：只校验证书链，不校验主机名

用 pg_connect() 数组参数更易管理证书路径

当需要 verify-full 或指定自定义 CA/客户端证书时，推荐用关联数组传参，避免连接字符串拼接出错：

$options = [
  'host' => 'db.example.com',
  'port' => '5432',
  'dbname' => 'myapp',
  'user' => 'webuser',
  'password' => 'xxx',
  'sslmode' => 'verify-full',
  'sslrootcert' => '/etc/ssl/certs/my-ca.crt',
  'sslcert' => '/etc/ssl/certs/client.crt',
  'sslkey' => '/etc/ssl/private/client.key',
];<br>pg_connect($options);

注意：

• sslrootcert 必须是 PEM 格式、且 PHP 进程有读取权限
• sslkey 文件权限应为 0600，否则 PostgreSQL 客户端库会拒绝加载
• Windows 下路径用正斜杠或双反斜杠，单反斜杠会被 PHP 解析为转义字符

验证是否真走 SSL：查 pg_stat_ssl 视图

光看连接不报错不等于加密生效。登录数据库后执行：

SELECT * FROM pg_stat_ssl WHERE pid = pg_backend_pid();

若返回一行且 ssl 列为 t，说明当前连接已加密；version 和 cipher 字段可确认 TLS 版本与加密套件。如果返回空行，说明连接仍是明文 —— 此时要回头检查 sslmode 拼写、服务端 postgresql.conf 的 ssl = on 及 pg_hba.conf 是否允许该用户通过 hostssl 方式连接。

SSL 配置的真正复杂点不在 PHP 侧，而在于证书生命周期管理与服务端策略匹配。一个 verify-full 连接失败，90% 的情况是证书过期、主机名不匹配，或 pg_hba.conf 里漏写了 hostssl 规则而非 PHP 写法问题。

好了，本文到此结束，带大家了解了《PHP连接PostgreSQL是否开启SSL？配置方法全解析》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！