PHP连接PostgreSQL是否启用SSL？配置步骤详解

PHP 的 pg_connect() 默认以明文方式连接 PostgreSQL，必须显式配置 sslmode（如 require、verify-full 等）才能启用 SSL 加密，仅服务端开启 SSL 并不自动生效；最简安全配置是在连接字符串中添加 `sslmode=require`，而高安全性场景则需通过关联数组指定证书路径并配合 `verify-full` 模式；但真正决定连接是否加密的不仅是 PHP 侧设置，还需服务端 `postgresql.conf` 中 `ssl=on`、`pg_hba.conf` 包含正确的 `hostssl` 规则，并通过 `SELECT * FROM pg_stat_ssl` 实时验证——很多看似“配置成功”的连接实为明文，根源往往在于证书过期、主机名不匹配或服务端策略缺失。

PHP 的 pg_connect() 默认不启用 SSL

除非显式配置，pg_connect() 建立的连接走的是明文 TCP，即使 PostgreSQL 服务端已开启 SSL 支持。客户端不会自动协商或降级尝试 SSL，必须在连接字符串或选项数组中明确声明 SSL 相关参数。

连接字符串里加 sslmode=require 是最简方式

这是最小可行配置，适用于大多数开发和测试场景，只要服务端证书合法（或自签名但客户端信任），就能建立加密连接：

pg_connect("host=10.0.1.5 port=5432 dbname=test user=app sslmode=require");

常见可选值及含义：

• disable：完全禁用 SSL（默认值）
• require：强制加密，不验证证书链（适合内网+自签名）
• verify-full：校验主机名 + 完整证书链（需配 sslrootcert）
• verify-ca：只校验证书链，不校验主机名

用 pg_connect() 数组参数更易管理证书路径

当需要 verify-full 或指定自定义 CA/客户端证书时，推荐用关联数组传参，避免连接字符串拼接出错：

$options = [
  'host' => 'db.example.com',
  'port' => '5432',
  'dbname' => 'myapp',
  'user' => 'webuser',
  'password' => 'xxx',
  'sslmode' => 'verify-full',
  'sslrootcert' => '/etc/ssl/certs/my-ca.crt',
  'sslcert' => '/etc/ssl/certs/client.crt',
  'sslkey' => '/etc/ssl/private/client.key',
];<br>pg_connect($options);

注意：

• sslrootcert 必须是 PEM 格式、且 PHP 进程有读取权限
• sslkey 文件权限应为 0600，否则 PostgreSQL 客户端库会拒绝加载
• Windows 下路径用正斜杠或双反斜杠，单反斜杠会被 PHP 解析为转义字符

验证是否真走 SSL：查 pg_stat_ssl 视图

光看连接不报错不等于加密生效。登录数据库后执行：

SELECT * FROM pg_stat_ssl WHERE pid = pg_backend_pid();

若返回一行且 ssl 列为 t，说明当前连接已加密；version 和 cipher 字段可确认 TLS 版本与加密套件。如果返回空行，说明连接仍是明文 —— 此时要回头检查 sslmode 拼写、服务端 postgresql.conf 的 ssl = on 及 pg_hba.conf 是否允许该用户通过 hostssl 方式连接。

SSL 配置的真正复杂点不在 PHP 侧，而在于证书生命周期管理与服务端策略匹配。一个 verify-full 连接失败，90% 的情况是证书过期、主机名不匹配，或 pg_hba.conf 里漏写了 hostssl 规则而非 PHP 写法问题。

到这里，我们也就讲完了《PHP连接PostgreSQL是否启用SSL？配置步骤详解》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！