資料加密在我們生活中的地位已經(jīng)越來(lái)越重要了，尤其是考慮到在網(wǎng)路上發(fā)生的大量交易和傳輸?shù)拇罅抠Y料。如果對(duì)於採(cǎi)用安全措施有興趣的話，也一定會(huì)有興趣了解PHP提供的一系列安全功能。在本篇文章中，我們將介紹這些功能，提供一些基本的用法，讓你能為自己的應(yīng)用軟體中增加安全功能。 預(yù)備知識(shí) 在詳細(xì)介紹PHP的安全功能之前，我們需要花點(diǎn)時(shí)間來(lái)向沒(méi)有接觸過(guò)這方面內(nèi)容的讀者介紹一些有關(guān)密碼學(xué)的基本知識(shí)，如果對(duì)密碼學(xué)的基本概念已經(jīng)非常熟悉，就可以跳過(guò)去這一部分。 ??? 密碼學(xué)可以簡(jiǎn)單地被描述為對(duì)加/解密的研究和實(shí)驗(yàn)，加密是將易懂的資料轉(zhuǎn)換為不易懂資料的過(guò)程，解密則是將不易懂的資料轉(zhuǎn)換為原來(lái)易懂資料的過(guò)程。不易懂的資料被稱作密碼，易懂的資料被稱作明碼。 ??? 資料的加/解密都需要一定的演算法，這些演算法可以非常簡(jiǎn)單，例如著名的凱撒碼，但目前的加密演算法要相對(duì)複雜得多，其中一些利用現(xiàn)有的方法甚至是無(wú)法破解的。 PHP的加密功能 ??? 只要有一點(diǎn)使用非Windows平臺(tái)經(jīng)驗(yàn)的人可能對(duì)crypt()也相當(dāng)熟悉，這一函數(shù)完成被稱作單向加密的功能，它可以加密一些明碼，但不能夠?qū)⒚艽a轉(zhuǎn)換為原來(lái)的明碼。儘管從表面上來(lái)看這似乎是一個(gè)沒(méi)有什麼用處的功能，但它的確被廣泛用來(lái)保證系統(tǒng)密碼的完整性。因?yàn)?，單向加密的口令一旦落入第三方人的手裡，由於不能被還原為明文，因此也沒(méi)有什麼大用處。在驗(yàn)證使用者輸入的口令時(shí)，使用者的輸入採(cǎi)用的也是單向演算法，如果輸入與儲(chǔ)存的經(jīng)加密後的口令相匹配，則輸入的口信一定是正確的。 ??? PHP也提供了使用其crypt()函數(shù)完成單向加密功能的可能性。我將在這裡簡(jiǎn)要地介紹該函數(shù)： string crypt (string input_string [, string salt]) ??? 其中的input_string參數(shù)是需要加密的字串，第二個(gè)可選的salt是一個(gè)位元字符串，它能夠影響加密的暗碼，進(jìn)一步地排除被稱作預(yù)計(jì)算攻擊的可能性。預(yù)設(shè)情況下，PHP使用一個(gè)2個(gè)字元的DES幹?jǐn)_串，如果你的系統(tǒng)使用的是MD5（我以後會(huì)介紹MD5演算法），它會(huì)使用一個(gè)12個(gè)字元的干擾串。順便說(shuō)一下，可以透過(guò)執(zhí)行下面的指令來(lái)發(fā)現(xiàn)系統(tǒng)將要使用的干擾串的長(zhǎng)度： print "My system salt size is: ". CRYPT_SALT_LENGTH; ??? 系統(tǒng)也可能支援其他的加密演算法。 crypt()支援四種演算法，以下是它支援的演算法和對(duì)應(yīng)的salt參數(shù)的長(zhǎng)度： 演算法 Salt長(zhǎng)度 CRYPT_STD_DES 2-character (Default) CRYPT_EXT_DES 9-character CRYPT_MD5 12-character beginning with $1$ CRYPT_BLOWFISH 16-character beginning with $2$ 用crypt()實(shí)現(xiàn)用戶身份驗(yàn)證 ??? 作為crypt()函數(shù)的一個(gè)例子，考慮這樣一種情況，你希望創(chuàng)建一段PHP腳本程序限制對(duì)一個(gè)目錄的訪問(wèn)，只允許能夠提供正確的用戶名和口令的用戶訪問(wèn)這一目錄。我將把資料儲(chǔ)存在我喜歡的資料庫(kù)MySQL的一個(gè)表中。下面我們以建立這個(gè)被稱為members的表格開(kāi)始我們的例子： mysql>CREATE TABLE members (
??? ->username CHAR(14) NOT NULL,
??? ->password CHAR(32) NOT NULL,
??? ->PRIMARMARYo> ??? 然後，我們假定下面的資料已經(jīng)儲(chǔ)存在該表中： 使用者名稱 密碼 clark keloD1C377lKE bruce ba1T7vnz9AWgk peter paLUvRWsRLZ4U ??? 這些加密的口令對(duì)應(yīng)的明碼分別是kent、banner和parker。注意每個(gè)口令的前二個(gè)字母，這是因?yàn)槲沂褂昧讼旅娴拇a，根據(jù)口令的前二個(gè)字母創(chuàng)建幹?jǐn)_串的： $enteredPassword.
$salt = substr($enteredPassword, 0, 2);
$userPswd = crypt($enteredPassword, $sSQLalt);
// $userPswd然後就和使用者名稱一起儲(chǔ)存在MySQLalt);
// $userPswd然後就和使用者名稱一起儲(chǔ)存在MySQLalt);// $userPswd然後就和使用者名稱一起儲(chǔ)存在MySQLalt中 我將使用Apache的口令-應(yīng)答認(rèn)證配置提示用戶輸入用戶名和口令，一個(gè)鮮為人知的有關(guān)PHP的信息是，它可以把Apache的口令-應(yīng)答系統(tǒng)輸入的用戶名和口令識(shí)別為$PHP_AUTH_USER和$PHP_AUTH_PW，我將在身份驗(yàn)證腳本中用到這二個(gè)變數(shù)?；ㄒ恍r(shí)間仔細(xì)閱讀下面的腳本，多注意其中的解釋?zhuān)员愀玫乩斫庀旅娴某淌酱a： crypt()和Apache的口令-應(yīng)答驗(yàn)證系統(tǒng)的應(yīng)用
$host = "localhost";
$user = "zorro";
$pswd = "hellodolly";
$db = "users";

// Set authorization to False

$authorization = 0;

// Verify that user has entered username and password

if (S1%) ($PHP_AUTH_PW)) :

mysql_pconnect($host, $user, $pswd) or die("Can't connect to MySQL
server!");

mysql_select_db($ db) or die("Can't select database!");

// Perform the encryption
$salt = substr($PHP_AUTH_PW, 0, 2);
$encrypted_ps = crycrypted(ps = crypt)( $PHP_AUTH_PW, $salt);

// Build the query

$query = "SELECT username FROM members WHERE
username = '$PHP_AUTH_USER' ANDTH_USER'pass
encrypted_pswd'";

// Execute the query

if (mysql_numrows(mysql_query($query)) == 1) :
$authorization = 1;
; ??>
endif;

// confirm authorization

if (! $authorization) :

header('WWW-Authenticate) :

header('WWW-Authenticate:Pricrealm="ate) );
header('HTTP/1.0 401 Unauthorized');
print "You are unauthorized to enter this area.";
exit;

else :
exit;

else :
print "This is the secret data!";
endif;?> ??? 上面就是一個(gè)核實(shí)使用者存取權(quán)限的簡(jiǎn)單身分驗(yàn)證系統(tǒng)。在使用crypt()保護(hù)重要的機(jī)密資料時(shí)，記住在缺省狀態(tài)下使用的crypt()並不是最安全的，只能用在對(duì)安全性要求較低的系統(tǒng)中，如果需要較高的安全性能，就需要我在本篇文章的後面介紹的演算法。 ??? 以下我將介紹另一個(gè)PHP支援的函數(shù)━━md5()，這函數(shù)使用MD5雜湊演算法，它有幾種很有趣的用法值得一提： 混編 ??? 一個(gè)混編函數(shù)可以將一個(gè)可變長(zhǎng)度的資訊轉(zhuǎn)換為具有固定長(zhǎng)度被混編過(guò)的輸出，也被稱為「資訊文摘」。這是十分有用的，因?yàn)橐粋€(gè)固定長(zhǎng)度的字串可以用來(lái)檢查檔案的完整性和驗(yàn)證數(shù)位簽章以及使用者身份驗(yàn)證。由於它適合PHP，PHP內(nèi)建的md5()混編函數(shù)將把一個(gè)可變長(zhǎng)度的資訊轉(zhuǎn)換為128位元（32個(gè)字元）的資訊摘要?；炀幍囊粋€(gè)有趣的特點(diǎn)是不能透過(guò)分析混編後的資訊得到原來(lái)的明碼，因?yàn)榛炀庒岬慕Y(jié)果與原來(lái)的明碼內(nèi)容沒(méi)有依賴關(guān)係。 即便只改變一個(gè)字串中的一個(gè)字符，也將使得MD5混編演算法計(jì)算出二個(gè)截然不同的結(jié)果。我們首先來(lái)看下表的內(nèi)容及其對(duì)應(yīng)的結(jié)果： 使用md5()混編字串 $msg = "This is some message that I just wrote";
$enc_msg = md5($msg);
print "hash: $enc_msg ";
?> ??? 結(jié)果：hash: 81ea092649ca32b5ba375e81d8f4972c ??? 注意，結(jié)果的長(zhǎng)度為32個(gè)字元。再來(lái)看一下下面的表，其中的$msg的值有了一點(diǎn)微小的變化： 使用md5()對(duì)一個(gè)稍微變化的字串進(jìn)行混編 //注意，message中少了一個(gè)s
$msg = "This is some mesage that I just wrote";
$enc_msg = md5($msg);
print " hash2: $enc_msg

";
?> ??? 結(jié)果：hash2: e86cf511bd5490d46d5cd61738c82c0c 可以發(fā)現(xiàn)，儘管二個(gè)結(jié)果的長(zhǎng)度都是32個(gè)字符，但明文中一點(diǎn)微小的變化使得結(jié)果發(fā)生了很大的變化，因此，混編和md5()函數(shù)是檢查數(shù)據(jù)中微小變化的一個(gè)很好的工具。 ??? 儘管crypt()和md5()各有用處，但二者在功能上都受到一定的限制。在下面的部分中，我們將介紹二個(gè)非常有用的被稱為Mcrypt和Mhash的PHP擴(kuò)展，將大大拓展PHP用戶在加密方面的選擇。 儘管我們?cè)谏厦娴男」?jié)中說(shuō)明了單向加密的重要性，但有時(shí)我們可能需要在加密後，再把密碼數(shù)據(jù)還原成原來(lái)的數(shù)據(jù)，幸運(yùn)的是，PHP透過(guò)Mcrypt擴(kuò)展庫(kù)的形式提供了這種可能性。 Mcrypt Mcrypt 2.5.7 Unix | Win32 ??? Mcrypt 2.4.7是一個(gè)功能強(qiáng)大的加密演算法擴(kuò)充庫(kù)，它包含有22種演算法，其中就包括下面的幾種演算法： Blowfish RC2 Safer-sk64 xtea Cast-256 RC4 Safer-sk128 DES RC4-iv Serpent Enigma Rijndael-128 Threeway Gost Rijndael-192 TripleDES LOKI97 Rijndael-256 Twofish PanamaSaferplus Wake 安裝： ??? 在標(biāo)準(zhǔn)的PHP軟體包中不包括Mcrypt，因此需要下載它，下載的地址為：ftp://argeas.cs-net.gr/pub/unix/mcrypt/。下載後，按照下面的方法進(jìn)行編譯，並將它擴(kuò)充在PHP中： 下載Mcrypt軟體包。 gunzipmcrypt-x.x.x.tar.gz tar -xvfmcrypt-x.x.x.tar ./configure --disable-posix-threads make make install cd to your PHP directory. ./configure -with-mcrypt=[dir] [--other-configuration-directives] make make install ??? 當(dāng)然了，根據(jù)你的要求和PHP安裝時(shí)與網(wǎng)路伺服器軟體的關(guān)係，上面的過(guò)程可能需要做適當(dāng)?shù)男薷摹?使用Mcrypt ??? Mcrypt的優(yōu)點(diǎn)不僅在於其提供的加密演算法較多，還在於它可以對(duì)資料進(jìn)行加/解密處理，此外，它還提供了35種處理資料用的函數(shù)。儘管對(duì)這些函數(shù)進(jìn)行詳細(xì)介紹已經(jīng)超出了這篇文章的範(fàn)圍，我還是要就幾個(gè)典型的函數(shù)作一下簡(jiǎn)要的介紹。 ??? 首先，我將介紹如何使用Mcrypt擴(kuò)充函式庫(kù)對(duì)資料進(jìn)行加密，然後再介紹如何使用它進(jìn)行解密。下面的程式碼對(duì)這一過(guò)程進(jìn)行了演示，首先是對(duì)數(shù)據(jù)進(jìn)行加密，然後在瀏覽器上顯示加密後的數(shù)據(jù)，並將加密後的數(shù)據(jù)還原為原來(lái)的字串，將它顯示在瀏覽器上。使用Mcrypt對(duì)資料進(jìn)行加、解密

// 指定要加密的字串
$string = "Applied Cryptography, by Bruce Schneier, is
一本精彩的密碼學(xué)參考資料。";

/ /加解密金鑰
$key = "四分二十年前";

//加密演算法
$cipher_alg = MCRYPT_RIJNDAEL_128;

//建立初始化向量新增了安全性。
$iv = mcrypt_create_iv(mcrypt_get_iv_size($cipher_alg,
MCRYPT_MODE_ECB), MCRYPT_RAND);

//輸出原始字串
print


// 加密$string
$encrypted_string = mcrypt_encrypt($cipher_alg, $key,
$string, MCRYPT_MODE_CBC, $iv);
print "加密字串: ".bin2hex($encrypted_string)."

";

$decrypted_string = mcrypt_decrypt($cipher_alg, $key,
$ encrypted_string, MCRYPT_MODE_CBC, $iv);

印出「解密的字串：$decrypted_string」;

?> 執(zhí)行上面的腳本將會(huì)產(chǎn)生下面的輸出： 原始字串：Bruce Schneier 的 Applied Cryptography，是一本精彩的密碼學(xué)參考資料。 加密字串：02a7c58b1ebd22a9523468694b091e60411cc4dea8652bb8072 34fa06bbfb20e71ecf525f29df58e28f3d95541febcecf 742f5cfa1d23fe22fe8 bfbab5e 解密的字串：Bruce Schneier 所寫(xiě)的《應(yīng)用密碼學(xué)》是一本精彩的密碼參??考書(shū)。 ??? 上面的程式碼中兩個(gè)最典型的函數(shù)是mcrypt_encrypt()和mcrypt_decrypt()，它們的用途是原創(chuàng)的。我使用了「電報(bào)密碼本」模式，Mcrypt提供了幾種加密方式，由於多種加密方式都有可以影響密碼安全特定的字符，因此終結(jié)模式都需要了解。對(duì)於沒(méi)有接觸過(guò)密碼系統(tǒng)的讀者來(lái)說(shuō)，可能對(duì)mcrypt_create_iv() 函數(shù)更加感興趣，儘管對(duì)這個(gè)函數(shù)進(jìn)行徹底的解釋已經(jīng)超出了本文文章的範(fàn)圍，但我仍然提到它創(chuàng)建的初始化保護(hù)（因此， iv），該保護(hù)可以使每個(gè)資訊相互獨(dú)立。雖然不是所有的模式都需要這個(gè)初始化變量，但如果有要求的模式中沒(méi)有提供該標(biāo)誌，PHP就會(huì)給出警告訊息。 Mhash擴(kuò)充庫(kù) http://sourceforge.net/projects/mhash/ ??? 0.8.3版的Mhash擴(kuò)充庫(kù)支援12種混編演算法，仔細(xì)檢查Mhash v.0.8.3的頭檔mhash.h可以知道，它支援下面的混編演算法： CRC32 哈弗160 MD5 CRC32B 哈弗192 RIPEMD160 古斯特哈弗224 SHA1 哈弗128 哈弗256 虎 安裝 ??? 象Mcrypt一樣，Mhash也不包括在PHP中，對(duì)於非Windows用戶，以下是安裝過(guò)程： 下載Mhash擴(kuò)充函式庫(kù) gunzipmhash-x.x.x.tar.gz tar -xvfmhash-x.x.x.tar ./配置 製作 進(jìn)行安裝 cd ; ./configure -with-mhash=[dir] [--other-configuration-directives] 製作 進(jìn)行安裝 ??? 象Mcrypt一樣，依據(jù)PHP在網(wǎng)路伺服器軟體上的安裝方式，可能需要對(duì)Mhash進(jìn)行其他的設(shè)定。 ??? 對(duì)於 Windows 使用者而言，http://www.php4win.de 有一個(gè)很好的包括 Mhash 擴(kuò)充函式庫(kù)聲明的 PHP 平衡。只需下載並進(jìn)行解壓縮，然後根據(jù)其中的 readme.first 文件中的指示進(jìn)行安裝即可。 使用Mhash ??? 對(duì)資訊進(jìn)行混編非常簡(jiǎn)單，請(qǐng)看下面的範(fàn)例： $hash_alg = MHASH_TIGER;
$message = "這些是通往秘密堡壘的方向。左兩步，右三步，恰恰。";
$hashed_message = mhash( $hash_alg, $message);
列印「哈希訊息是」。 bin2hex($hashed_message);
?>; ??? 執(zhí)行這段腳本程式將會(huì)得到下面的輸出結(jié)果：雜湊訊息是 07a92a4db3a4177f19ec9034ae5400eb60d1a9fbb4ade461 這裡使用bin2hex()函數(shù)的目的是方便我們理解$hashed_message的輸出，這是因?yàn)榛炀幍慕Y(jié)果是二進(jìn)位格式，為了能夠?qū)⑵滢D(zhuǎn)換為易於理解的格式，必須將其轉(zhuǎn)換為音響十六進(jìn)位格式。 ??? 需要注意的是，混編是單向功能，其結(jié)果不依賴輸入，因此可以公開(kāi)顯示該資訊。此策略通常讓使用者比較下載文件和系統(tǒng)管理員提供的文件，以確保文件的完整性。 ???? Mhash 還有其他一些有用的函數(shù)。例如，我需要輸出一個(gè)Mhash支援的演算法的名字，由於Mhash支援的所有演算法的名字都以MHASH_開(kāi)頭，因此，可以透過(guò)執(zhí)行如下的程式碼完成這項(xiàng)任務(wù)： $hash_alg = MHASH_TIGER;
print "This data has been hashed with the".mhash_get_hash_name($hashed_message)."hashing algorithm.";
?> 得到的輸出是：This data has been hashed with the TIGER hashing algorithm. 關(guān)於PHP和加密最後需要注意的問(wèn)題 ??? 關(guān)於PHP和加密需要注意的最後一個(gè)重要的問(wèn)題是在伺服器和用戶端之間傳輸?shù)馁Y料在傳輸過(guò)程中是不安全的！ PHP是一種伺服器端技術(shù)，無(wú)法阻止資料在傳輸過(guò)程中洩密。因此，如果想要實(shí)現(xiàn)一個(gè)完整的安全應(yīng)用，建議選用Apache-SSL或其他的安全伺服器佈置。 結(jié)論 這篇文章介紹了PHP最有用的功能之一━━資料加密，不僅討論了PHP內(nèi)建的crypt() 和md5()加密函數(shù)，還討論了用於資料加密的功能強(qiáng)大的擴(kuò)充庫(kù)━━Mcrypt和Mhash。在這篇文章最後，我需要指出的是，一個(gè)真正安全的PHP應(yīng)用程式還應(yīng)該包括安全的伺服器，由於PHP是一種伺服器端的技術(shù)，因此，當(dāng)資料由客戶端向伺服器端進(jìn)行傳輸時(shí)，它不能保證資料的安全。