PHP连接SSL加密MySQL需服务端启用SSL并提供CA证书,mysqli须用mysqli_init()+mysqli_options设置证书路径,PDO需在DSN中配sslca等参数且sslmode与证书成对使用。
PHP 连接 SSL 加密的 MySQL 数据库,关键在 mysqli 或 PDO 的连接参数
PHP 本身不提供独立的 “phpssl” 扩展,所谓“PHP SSL 连 MySQL” 实际是让 mysqli 或 PDO 在建立 TCP 连接后,通过 MySQL 协议层启用 TLS/SSL 加密。是否加密、加密强度,完全取决于服务端配置 + 客户端显式启用。
确认 MySQL 服务端已启用 SSL 并导出必要证书文件
客户端无法凭空启用 SSL —— 必须先确认服务端支持,且你有可用的 CA 证书(ca.pem),可选的客户端证书(client-cert.pem)和私钥(client-key.pem)。常见错误:直接跳过这步,用本地自签名证书却没配对或路径写错。
- 登录 MySQL 执行
SHOW VARIABLES LIKE '%ssl%';,确认have_ssl = YES且ssl_ca指向有效路径 - 从 MySQL 服务端机器复制
ca.pem(必须),若服务端强制验证客户端身份,则还需client-cert.pem和client-key.pem - 证书文件需 PHP 进程有读取权限;路径推荐用绝对路径,避免相对路径在 CLI/Web 环境下行为不一致
mysqli 启用 SSL 的两种写法(推荐用数组形式传参)
mysqli 的 SSL 配置容易被忽略的是:必须同时设置 MYSQLI_OPT_SSL_CA(至少),否则即使加了 ssl=1 参数也无效。旧式字符串 DSN 方式(如 mysql:host=...;ssl=1)不生效。
// ✅ 推荐:使用 mysqli_init() + options 方式(可控、明确)
$mysqli = mysqli_init();
mysqli_options($mysqli, MYSQLI_OPT_SSL_CA, '/path/to/ca.pem');
mysqli_options($mysqli, MYSQLI_OPT_SSL_CERT, '/path/to/client-cert.pem'); // 可选
mysqli_options($mysqli, MYSQLI_OPT_SSL_KEY, '/path/to/client-key.pem'); // 可选
mysqli_real_connect($mysqli, 'host', 'user', 'pass', 'db', 3306, null, MYSQLI_CLIENT_SSL);
// ❌ 错误:以下写法不会启用 SSL 加密
// new mysqli('host', 'user', 'pass', 'db', 3306, null, MYSQLI_CLIENT_SSL);
// 因为未调用 mysqli_options 设置证书路径,MYSQLI_CLIENT_SSL 标志单独无效
PDO 连接时 sslmode 和证书路径必须成对出现
PDO 的 PDO::ATTR_SSL_MODE 是 MySQLi 没有的抽象层概念,但实际仍依赖底层证书文件。常见坑:只设 sslmode=REQUIRED 却没给 sslca,导致连接失败并报错 SSL connection error: SSL is required but the server doesn’t support it(其实是客户端没提供 CA)。
微信分销商城电脑手机三合一是以php+MySQL进行开发的微信商城分销系统源码。安装步骤:1、打开:网址/diguo/index.php 用户密码是admin 123456 登录进去配置数据库信息。2、用帝国还原恢复数据库.3、修改data文件夹里的config.php (data/config.php)数据库配置信息4、登录网站后台,网址:域名/admin/index.php 后台帐号是:
立即学习“PHP免费学习笔记(深入)”;
- 必需参数:
sslca=/path/to/ca.pem;若服务端要求双向认证,再加sslcert和sslkey -
sslmode值建议用VERIFY_CA(验证服务端证书签发者)或REQUIRED(仅加密,不验证书);VERIFY_IDENTITY要求主机名匹配,生产环境慎用 - DSN 中不能写空格或换行,所有参数用分号连接,例如:
mysql:host=db.example.com;port=3306;dbname=test;sslca=/etc/mysql/ca.pem;sslcert=/etc/mysql/client-cert.pem;sslkey=/etc/mysql/client-key.pem;sslmode=VERIFY_CA
最常被跳过的环节是服务端证书链校验 —— 如果 MySQL 用的是 Let’s Encrypt 或其他公信 CA 签发的证书,理论上可以不用传 ca.pem(PHP 会用系统根证书),但多数私有部署 MySQL 使用自签名或内网 CA,此时缺 ca.pem 就连不上,而且错误信息往往模糊,只会提示“Connection refused”或“SSL handshake failed”。
