我应该如何在 PHP 应用程序中加密我的数据？

Question

我尝试使用 Paypal PHP SDK，并注意到一条警告，提示我应该加密我的 API 用户名和密码，以便在生产环境中使用。我确实同意这个说法，但我想知道我应该如何去做。我目前没有任何线索。

以下是警告内容，仅供记录：

请勿在应用程序代码中嵌入纯文本凭据。这样做 不安全并且违背最佳实践。您的 API 凭证必须是 安全处理。请考虑对它们进行加密以用于任何 生产环境，并确保只有授权的个人 可以查看或修改它们。

提前致谢。

Answer 1

通常，您可以将这样的凭据存储在 Web 根目录之外的文件中。这限制了风险，但并没有完全消除风险。

如果他们可以看到您的代码（或者更糟糕的是，编辑它），那么他们无论如何都可以获得您的凭据。加密它意味着您需要将加密密钥放在与用户名/密码本身一样可见的地方。

Answer 2

首先，设置一个加密密钥：

$key = 'yourpasswordhere';
$string = ' confidential information here '; // note the spaces

在数据库条目或其他文件中对其进行加密，并仅将加密的字符串存储在文件本身中：

$encrypted = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key), $string, MCRYPT_MODE_CBC, md5(md5($key))));
var_dump($encrypted); // "ey7zu5zBqJB0rGtIn5UB1xG03efyCp+KSNR4/GAv14w="

稍后解密：

$decrypted = rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5($key), base64_decode($encrypted), MCRYPT_MODE_CBC, md5(md5($key))), "\0");
var_dump($decrypted); // " confidential information here "