PHP配置文件怎么加密？有哪些保护敏感信息的方法

来源：IPIPP.com作者：陈平安头衔：全栈工程师

导读：本期聚焦于小伙伴创作的《PHP配置文件怎么加密？有哪些保护敏感信息的方法》，敬请观看详情，探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《PHP配置文件怎么加密？有哪些保护敏感信息的方法》有用，将其分享出去将是对创作者最好的鼓励。

PHP项目的配置文件通常存放数据库连接信息、第三方服务密钥、系统运行参数等核心内容，一旦被未授权访问，会直接导致整个项目的安全防线失守。因此做好PHP配置文件的加密和敏感信息保护是项目上线前的必要工作。

为什么需要加密PHP配置文件

默认情况下，PHP的配置文件（比如常见的config.php、.env文件）都是明文存储，如果服务器权限配置不当，攻击者可以通过目录遍历、文件读取漏洞直接获取配置内容。另外如果代码仓库误将配置文件提交到公开平台，也会造成敏感信息泄露。加密配置文件可以从存储层面降低这类风险。

常用PHP配置文件加密方法

1. 使用openssl扩展加密配置内容

openssl是PHP自带的加密扩展，我们可以把配置文件的敏感内容加密后存储，运行时再解密使用。首先生成加密密钥，建议把密钥存放在服务器环境变量中，不要和加密后的配置放在同一目录。

加密配置文件的示例代码如下：

<?php
// 加密配置内容
$config = [
    'db_host' => '127.0.0.1',
    'db_user' => 'root',
    'db_pass' => 'test123456',
    'api_key' => 'abc123def456'
];
// 从环境变量获取加密密钥，避免密钥硬编码
$key = getenv('CONFIG_ENCRYPT_KEY');
// 使用aes-256-cbc算法加密
$method = 'aes-256-cbc';
$iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length($method));
$encrypted = openssl_encrypt(json_encode($config), $method, $key, 0, $iv);
// 存储加密后的内容和iv，iv需要和加密内容一起保存用于解密
$saveData = [
    'data' => $encrypted,
    'iv' => base64_encode($iv)
];
file_put_contents('config_encrypted.php', '<?php return ' . var_export($saveData, true) . ';');
echo "配置文件加密完成";

运行时解密配置的代码如下：

<?php
// 加载加密后的配置
$encryptedConfig = require 'config_encrypted.php';
$key = getenv('CONFIG_ENCRYPT_KEY');
$method = 'aes-256-cbc';
$iv = base64_decode($encryptedConfig['iv']);
// 解密配置内容
$decrypted = openssl_decrypt($encryptedConfig['data'], $method, $key, 0, $iv);
$config = json_decode($decrypted, true);
// 使用配置，比如连接数据库
echo "数据库地址：" . $config['db_host'];

2. 使用php.ini的加密配置扩展

部分第三方扩展支持直接加密php.ini或者自定义配置文件，比如php_ini_encrypted扩展，可以对指定的配置文件进行加密，PHP解析时会自动解密。这种方法不需要修改业务代码，只需要安装扩展并配置加密密钥即可，适合不想改动现有项目代码的场景。

3. 敏感信息存入环境变量

对于数据库密码、API密钥这类敏感信息，也可以不放在配置文件里，而是直接存入服务器的环境变量。PHP可以通过getenv()函数或者$_ENV超全局数组读取环境变量，这样即使配置文件被读取，也不会泄露敏感信息。

设置环境变量的方式根据服务器类型不同有所区别，以Linux系统为例，可以在/etc/profile或者项目对应的fpm配置里添加：

export DB_HOST=127.0.0.1
export DB_USER=root
export DB_PASS=test123456
export API_KEY=abc123def456

PHP中读取环境变量的代码：

<?php
$dbHost = getenv('DB_HOST');
$dbUser = getenv('DB_USER');
$dbPass = getenv('DB_PASS');
$apiKey = getenv('API_KEY');

配套防护措施

除了加密配置文件，还需要做好以下防护，才能最大程度保障敏感信息安全：

设置配置文件的访问权限，比如Linux系统下设置为600，仅允许文件所有者读写，禁止其他用户访问。
配置Web服务器，禁止直接访问配置文件，比如Nginx可以在配置中添加规则，禁止访问.php以外的配置文件，或者把配置文件放在Web根目录之外。
代码中禁用highlight_file、show_source、file_get_contents等可以读取文件内容的危险函数，避免攻击者通过代码执行漏洞读取配置。
不要把配置文件提交到公开的代码仓库，在.gitignore中忽略配置文件，生产环境的配置单独通过服务器部署流程写入。

方法选择建议

如果是新项目，优先选择将敏感信息存入环境变量的方式，实现简单且没有性能损耗；如果是存量项目不方便修改配置读取逻辑，可以使用openssl加密配置内容，改动量较小；如果服务器权限充足，也可以安装加密扩展实现无侵入式的配置加密。不管选择哪种方法，都要配合权限控制和访问限制，才能形成完整的安全防护体系。

PHP配置加密 PHP敏感信息保护配置文件加密 php_ini_encrypted修改时间：2026-06-03 23:03:34

免责声明：已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰，观点力求客观中立。本站旨在免费分享，内容仅供个人学习、研究或参考使用。若引用了第三方作品，版权归原作者所有。如内容涉及您的权益，请联系我们处理。