關於yii2加密與解密的介紹-php教程-PHP中文網

首頁

後端開發

php教程

關於yii2加密與解密的介紹

不言

Jul 10, 2018 pm 03:14 PM

phpyii加密解密

這篇文章主要介紹了關於yii2加密和解密的介紹，有著一定的參考價值，現在分享給大家，有需要的朋友可以參考一下

相關環境

作業系統及IDE macOS 10.13.1 & PhpStorm2018.1.2
軟體版本PHP7.1.8 Yii2.0.14

#在在yii2中，管理加密解密的函式庫叫做Security，它以yii2元件的形式存在，因此你可以透過Yii::$app->security來取得並使用它。

Security元件原始碼位置如下

vendor/yiisoft/yii2/base/Security.php

Security元件一共有15個與加密解密（&編碼）相關的公用方法，我們先來列出清單。

encryptByPassword
#encryptByKey
##decryptByPassword
decryptByPassword
decryptByPassword
decryptByPassword
decryptByPassword
#decryptByKey
hkdf
#pbkdf2
##hashData
#validateData
generateRandomKey

generateRandomString

##generatePasswordHash

#validatePassword

compareString

#maskToken

##unmaskToken我想有一些你一定沒看過，沒關係，我們一一去了解。

generateRandomString之所以先說generateRandomString是因為它最常用，所以我是這樣。

public function generateRandomString($length = 32){...}

產生一個隨機的字串，參數$length代表這個字串的長度，預設32位元。值得說明的是這個字串的取值為範圍是[A-Za-z0-9_-]。

generatePasswordHash & validatePassword

generatePasswordHash & validatePassword經常被用來加密使用者密碼以及密碼是否正確的驗證，自從MD5可能被碰撞後，我們用yii2開發應用的時候，generatePasswordHash函數對密碼進行加密就成為首選了，它呼叫了crypt函數。

一般用法如下

// 使用generatePasswordHash为用户的密码加密，$hash存储到库中
$hash = Yii::$app->getSecurity()->generatePasswordHash($password);

// 使用validatePassword对密码进行验证
if(Yii::$app->getSecurity()->validatePassword($password, $hash)){
    // 密码正确
}else{
    // 密码错误
}

generateRandomKey

和

generateRandomString

類似，產生一個隨機的串，參數為長度，預設為32位，差別在於

generateRandomKey

產生的不是ASCII。

簡單的說

generateRandomString

約等於 base64_encode(generateRandomKey)。

encryptByPassword & decryptByPassword

編碼和解碼函數，使用一個秘鑰對資料進行編碼，然後透過此秘鑰在編碼後的資料進行解碼。範例

$dat = Yii::$app->security->encryptByPassword("hello","3166886");
echo Yii::$app->security->encryptByPassword($dat,"3166886");// hello

要注意，透過上面得到的編碼後的資料不是ASCII，可以透過base64_encode和base64_decode在外層包裝下。

encryptByKey & decryptByKey同樣是一組編碼和解碼函數，比透過密碼的方式還要快。函數宣告為

public function encryptByKey($data, $inputKey, $info = null){}

public function decryptByKey($data, $inputKey, $info = null){}

encryptByKey & decryptByKey 存在著第三個參數，例如我們可以傳遞會員的ID等，這樣此資訊將和$inputKey一起作為加密解密的鑰匙。

hkdf

使用標準的 HKDF 演算法從給定的輸入鍵中導出一個鍵。 在PHP7 使用的是hash_hkdf方法，小於PHP7使用hash_hmac方法。

pbkdf2使用標準的 PBKDF2 演算法從給定的密碼匯出一個金鑰。此方法可以用來進行密碼加密，不過yii2有更好的密碼加密方案

generatePasswordHash

。

hashData和validateData有的時候為了防止內容被竄改，我們需要對資料做一些標記，hashData和validateData就是完成這個任務的組合。

hashData

用來對原始資料進行

加上資料前綴

，例如以下程式碼

$result = Yii::$app->security->hashData("hello",'123456',false);
// ac28d602c767424d0c809edebf73828bed5ce99ce1556f4df8e223faeec60eddhello

你看到了hello的前面多了一組字符，這組字符會隨著原始數據的不同而變化。這樣我們就對資料進行了特殊的防止竄改標記，接下來是validateData上場了。

注意：hashData的第三個參數代表產生的雜湊值是否為原始二進位格式. 如果為

false

, 則會產生小寫十六進位數字.

# #####validateData### 對已經加了資料前綴的資料進行偵測，如下程式碼###

$result = Yii::$app->security->validateData("ac28d602c767424d0c809edebf73828bed5ce99ce1556f4df8e223faeec60eddhello",'123456',false);
// hello

###如果傳回了原始的字串則表示驗證通過，否則會傳回假。 ######validateData 函數的第三個參數應該與使用 ###hashData()### 產生資料時的值相同. 它指示資料中的雜湊值是否為二進位格式. 如果為### false###, 則表示雜湊值僅由小寫十六進位數字組成. 將產生十六進位數字.######compareString######可防止時序攻擊的字串比較，用法非常簡單。 ###

Yii::$app->security->compareString("abc",'abc');

###結果為真則相等，否則不相等。 ######那麼什麼是時序攻擊那？我來舉一個簡單的例子。 ###

if($code == Yii::$app->request->get('code')){
    
}

###上面的比較邏輯，兩個字串是從第一位開始逐一進行比較的，發現不同就立即返回false，那麼透過計算返回的速度就知道了大概是哪一位開始不同的，這樣就實現了電影中常出現的按位破解密碼的場景。 ###

而使用 compareString 比较两个字符串，无论字符串是否相等，函数的时间消耗是恒定的，这样可以有效的防止时序攻击。

maskToken && unmaskToken

maskToken用于掩盖真实token且不可以压缩，同一个token最后生成了不同的随机令牌，在yii2的csrf功能上就使用了maskToken，原理并不复杂，我们看下源码。

public function maskToken($token){
    $mask = $this->generateRandomKey(StringHelper::byteLength($token));
    return StringHelper::base64UrlEncode($mask . ($mask ^ $token));
}

而unmaskToken目的也很明确，用于得到被maskToken掩盖的token。

接下来我们看一个例子代码

$token = Yii::$app->security->maskToken("123456");
echo Yii::$app->security->unmaskToken($token);// 结果为 123456

最后我们总结下

加密/解密: encryptByKey()、decryptByKey()、 encryptByPassword() 和 decryptByPassword()；
使用标准算法的密钥推导: pbkdf2() 和 hkdf();
防止数据篡改: hashData() 和 validateData();
密码验证: generatePasswordHash() 和 validatePassword()

以上就是本文的全部内容，希望对大家的学习有所帮助，更多相关内容请关注PHP中文网！

相关推荐：

Yii无法捕获到异常的解决方法

yii2对csrf攻击的防范措施

以上是關於yii2加密與解密的介紹的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP的當前狀態：查看網絡開發趨勢Apr 13, 2025 am 12:20 AM

PHP在現代Web開發中仍然重要，尤其在內容管理和電子商務平台。 1)PHP擁有豐富的生態系統和強大框架支持，如Laravel和Symfony。 2)性能優化可通過OPcache和Nginx實現。 3)PHP8.0引入JIT編譯器，提升性能。 4)雲原生應用通過Docker和Kubernetes部署，提高靈活性和可擴展性。

PHP與其他語言：比較Apr 13, 2025 am 12:19 AM

PHP適合web開發，特別是在快速開發和處理動態內容方面表現出色，但不擅長數據科學和企業級應用。與Python相比，PHP在web開發中更具優勢，但在數據科學領域不如Python；與Java相比，PHP在企業級應用中表現較差，但在web開發中更靈活；與JavaScript相比，PHP在後端開發中更簡潔，但在前端開發中不如JavaScript。

PHP與Python：核心功能Apr 13, 2025 am 12:16 AM

PHP和Python各有優勢，適合不同場景。 1.PHP適用於web開發，提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習，語法簡潔且有強大標準庫。選擇時應根據項目需求決定。

PHP：網絡開發的關鍵語言Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言，特別適合web開發。 1.PHP可以嵌入HTML，處理HTTP請求和響應，支持多種數據庫。 2.PHP用於生成動態網頁內容，處理表單數據，訪問數據庫等，具有強大的社區支持和開源資源。 3.PHP是解釋型語言，執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時，可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

PHP：許多網站的基礎Apr 13, 2025 am 12:07 AM

PHP成為許多網站首選技術棧的原因包括其易用性、強大社區支持和廣泛應用。 1)易於學習和使用，適合初學者。 2)擁有龐大的開發者社區，資源豐富。 3)廣泛應用於WordPress、Drupal等平台。 4)與Web服務器緊密集成，簡化開發部署。

超越炒作：評估當今PHP的角色Apr 12, 2025 am 12:17 AM

PHP在現代編程中仍然是一個強大且廣泛使用的工具，尤其在web開發領域。 1)PHP易用且與數據庫集成無縫，是許多開發者的首選。 2)它支持動態內容生成和麵向對象編程，適合快速創建和維護網站。 3)PHP的性能可以通過緩存和優化數據庫查詢來提升，其廣泛的社區和豐富生態系統使其在當今技術棧中仍具重要地位。