CodeIgniter框架怎么实现敏感数据加密存储_CodeIgniter框架数据库字段加密应用【应用】

IT行业相对于一般传统行业，发展更新速度更快，一旦停止了学习，很快就会被行业所淘汰。所以我们需要踏踏实实的不断学习，精进自己的技术，尤其是初学者。今天golang学习网给大家整理了《CodeIgniter框架怎么实现敏感数据加密存储_CodeIgniter框架数据库字段加密应用【应用】》，聊聊，我们一起来看看吧！

必须使用CI 3.0+的Encryption类或encrypt()/decrypt()方法，且$config['encryption_key']须为openssl_random_pseudo_bytes(32)生成的真实随机二进制密钥，明文字符串会导致HMAC验证失败而解密为空；CI 3.x加载encryption库后调用$this->encryption->encrypt()，CI 4.x使用service('encrypter')->encrypt()；密钥不可动态构造、不可更改，数据库字段需用TEXT或latin1/binary类型存储base64编码后的膨胀数据。

必须用 Encryption 类（CI 3.0+）或 encrypt()/decrypt() 方法，且 $config['encryption_key'] 必须是真实随机二进制密钥——写成明文字符串或直接填 'my-key-123' 会导致加密后无法解密，不是配置漏了，是密码学层面失效。

加密前先确认你用的是哪个类：Encryption 还是 Encrypt？

CI 3.0 起已废弃旧的 Encrypt 类，改用 Encryption 类。如果你调用 $this->encrypt->encrypt() 报错 “Call to undefined method”，大概率是版本不匹配或加载错误。

• CI 3.x：加载 $this->load->library('encryption');，然后用 $this->encryption->encrypt($data) 和 $this->encryption->decrypt($encrypted)
• CI 4.x：使用 CodeIgniter\Security\Encryption\Encrypter，通过服务容器获取：service('encrypter')->encrypt($data)
• 别在控制器里写 $this->load->library('encrypt'); —— 这个类在 CI 3.0+ 已被移除，硬加会报致命错误

$config['encryption_key'] 不能是明文字符串

很多人把 $config['encryption_key'] = 'abc123!@#'; 直接写进 application/config/config.php，结果加密数据存进数据库后，decrypt() 返回 null 或空字符串。这不是 bug，是密钥熵值不足导致 HMAC 验证失败。

• 正确做法：用 openssl_random_pseudo_bytes(32) 生成 32 字节二进制密钥，再用 hex2bin() 存入配置（开发机跑一次即可）
• 示例生成命令（PHP CLI）：

  $key = bin2hex(openssl_random_pseudo_bytes(32)); echo $key; // 输出类似 8a3f...c1e7<br>$config['encryption_key'] = hex2bin($key);

• 绝对不要在 config.php 里调用 $this->encryption->create_key() —— 此时 CI 核心未初始化，会报 Call to a member function create_key() on null
• 密钥一旦写死，就不能再改；改了会导致所有历史加密数据永久无法解密

数据库字段类型和长度要预留足够空间

CI 的 encrypt() 不是简单 base64，而是封装了 IV + ciphertext + HMAC tag 的完整结构，默认用 AES-128-CBC + SHA512-HMAC，base64 编码后体积膨胀约 2.3–2.6 倍。

• 原文 20 字节 → 加密后约 52–56 字符（base64）→ 实际存储需至少 TEXT 类型，VARCHAR(255) 只够存不到 100 字节原文
• MySQL 中避免用 utf8mb4 字段存加密串（虽然能存，但无意义），统一用 latin1 或 binary 更稳妥，防止字符集转换污染二进制内容
• 别把加密结果塞进 URL 参数或 cookie —— base64 含 +、/、=，需额外 urlencode()，进一步膨胀且易出错

用户级密钥隔离不是默认支持的，得自己绕开框架封装

CI 的 Encryption 类只认全局 $config['encryption_key']，没法为每个用户动态切密钥。如果真需要 per-user 加密（比如多租户场景），不能依赖框架原生方法。

• 方案一：自己用 OpenSSL 手写 AES 加解密，用用户专属字段（如 user_salt）派生密钥：hash_hkdf('sha256', $user_secret, 32, '', $salt)
• 方案二：把用户密钥存在独立加密表（用主密钥保护），读取后再解密业务数据 —— 但注意密钥表本身也要防拖库
• 千万别把用户密钥拼进 $config['encryption_key'] 字符串里动态构造 —— 这破坏了密钥稳定性，也绕过了 HMAC 完整性校验

真正难的从来不是调用 encrypt() 那一行代码，而是密钥怎么生成、存在哪、谁有权访问、改了怎么办——这些没想清楚，加密就只是给数据套了层看起来安全的塑料膜。

好了，本文到此结束，带大家了解了《CodeIgniter框架怎么实现敏感数据加密存储_CodeIgniter框架数据库字段加密应用【应用】》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！