升级 PHP7.1 后 openssl 解密 mcrypt AES 数据不兼容问题的处理方法

这是一个创建于 374 天前的主题，其中的信息可能已经有所发展或是发生改变。 $key = "01234567891234560123456789123456"; $iv = "0123456789123456"; //原本的 mcrypt 加密 $en_data = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, "0123456789123456", MCRYPT_MODE_CBC, $iv)); var_dump("mcrypt_encrypt:"); var_dump(bin2hex(base64_decode($en_ 在PHP开发中，加密和解密是常见的数据安全操作，特别是在传输敏感信息时。然而，随着技术的发展，一些旧的加密库如mcrypt被弃用，取而代之的是更现代、更安全的openssl扩展。这导致了在升级PHP版本到7.1或更高后，可能会遇到与mcrypt相关的兼容性问题，特别是对于使用AES加密算法的情况。 在描述中，我们看到一个例子，开发者使用了mcrypt_encrypt函数进行AES-128-CBC模式的加密，然后尝试用openssl_decrypt进行解密。在mcrypt中，使用了一个32字节的密钥和16字节的初始化向量（IV）。但在openssl中，相同的加密操作产生了不同的结果，并且在尝试解密时引发了错误。 问题的关键在于，AES-128-CBC模式只接受16字节（128位）的密钥，但mcrypt允许使用更长的密钥，实际上截断了超出部分。当使用openssl时，如果密钥超过16字节，会报出“invalid key length”的错误，因为openssl期望的密钥长度与mcrypt不同。 为了解决这个问题，开发者可以采取以下策略： 1. **调整密钥长度**：确保密钥长度与加密算法匹配。在本例中，由于使用的是AES-128-CBC，所以密钥应该为16字节。如果历史代码使用了更长的密钥，需要将其调整为16字节。 2. **使用openssl兼容的加密**：在升级PHP版本后，可以将所有加密操作改为使用openssl扩展。在示例中，开发者最终通过将加密算法从AES-128-CBC更改为AES-256-CBC解决了问题。AES-256-CBC可以接受32字节的密钥，因此能够正确处理原本的密钥长度，同时保持解密的正确性。 3. **处理历史数据**：对于已使用mcrypt加密并存储的历史数据，可以创建一个临时的适配器函数，先用mcrypt解密，然后再用openssl加密，以确保新系统中的兼容性。 4. **更新加密代码**：在新的项目中，避免使用mcrypt，而是直接采用openssl。这不仅可以确保与未来PHP版本的兼容性，还可以利用openssl提供的更强的安全性和更多的加密算法。 5. **理解加密差异**：理解mcrypt和openssl在加密过程中的实现差异，例如填充方式（mcrypt默认使用PKCS7，openssl可以设置为多种填充模式）和错误处理机制。 6. **测试和验证**：在更改加密策略后，必须进行详尽的测试，确保新旧数据在新系统中的加密和解密都正常工作，防止数据丢失或解密失败。 总结以上所述，从mcrypt迁移到openssl的过程中，关键在于理解加密算法的细节，尤其是密钥和IV的长度，以及填充规则。正确配置这些参数，并确保在新旧系统之间有良好的兼容性，可以有效地解决升级PHP后遇到的不兼容问题。同时，及时更新代码以遵循最佳实践，以保证数据的安全性和系统的稳定性。