pg_connect() 默认不启用 SSL,必须显式配置sslmode;最简加密方式是连接字符串中加sslmode=require;需通过pg_stat_ssl验证是否真走SSL,且服务端须配置ssl=on及hostssl规则。
PHP 的 pg_connect() 默认不启用 SSL
除非显式配置,pg_connect() 建立的连接走的是明文 TCP,即使 PostgreSQL 服务端已开启 SSL 支持。客户端不会自动协商或降级尝试 SSL,必须在连接字符串或选项数组中明确声明 SSL 相关参数。
连接字符串里加 sslmode=require 是最简方式
这是最小可行配置,适用于大多数开发和测试场景,只要服务端证书合法(或自签名但客户端信任),就能建立加密连接:
pg_connect("host=10.0.1.5 port=5432 dbname=test user=app sslmode=require");常见可选值及含义:
-
disable:完全禁用 SSL(默认值) -
require:强制加密,不验证证书链(适合内网+自签名) -
verify-full:校验主机名 + 完整证书链(需配sslrootcert) -
verify-ca:只校验证书链,不校验主机名
用 pg_connect() 数组参数更易管理证书路径
当需要 verify-full 或指定自定义 CA/客户端证书时,推荐用关联数组传参,避免连接字符串拼接出错:
立即学习“PHP免费学习笔记(深入)”;
$options = [ 'host' => 'db.example.com', 'port' => '5432', 'dbname' => 'myapp', 'user' => 'webuser', 'password' => 'xxx', 'sslmode' => 'verify-full', 'sslrootcert' => '/etc/ssl/certs/my-ca.crt', 'sslcert' => '/etc/ssl/certs/client.crt', 'sslkey' => '/etc/ssl/private/client.key', ];
pg_connect($options);
注意:
-
sslrootcert必须是 PEM 格式、且 PHP 进程有读取权限 -
sslkey文件权限应为0600,否则 PostgreSQL 客户端库会拒绝加载 - Windows 下路径用正斜杠或双反斜杠,单反斜杠会被 PHP 解析为转义字符
验证是否真走 SSL:查 pg_stat_ssl 视图
光看连接不报错不等于加密生效。登录数据库后执行:
SELECT * FROM pg_stat_ssl WHERE pid = pg_backend_pid();
若返回一行且 ssl 列为 t,说明当前连接已加密;version 和 cipher 字段可确认 TLS 版本与加密套件。如果返回空行,说明连接仍是明文 —— 此时要回头检查 sslmode 拼写、服务端 postgresql.conf 的 ssl = on 及 pg_hba.conf 是否允许该用户通过 hostssl 方式连接。
SSL 配置的真正复杂点不在 PHP 侧,而在于证书生命周期管理与服务端策略匹配。一个 verify-full 连接失败,90% 的情况是证书过期、主机名不匹配,或 pg_hba.conf 里漏写了 hostssl 规则而非 PHP 写法问题。
