PHP CLI 模式无内置密钥概念,安全用法有三:优先从环境变量(如 getenv('APP_KEY'))或权限为600的密钥文件读取,调试可用stdin;禁用$_GET/$_POST,改用$argv或getopt()解析参数;openssl_sign()用于非对称签名,hash_hmac()用于对称签名,均需避免硬编码与日志泄露。
PHP CLI 模式本身不提供内置的“密钥”概念——你不是在找 php -m openssl 的开关,而是在处理命令行下安全地使用密钥(比如 JWT 签名、AES 加密、API 认证 token),这类密钥必须避免硬编码、泄露到 stdout/stderr 或被 shell 历史记录捕获。
CLI 下读取密钥的三种安全方式
直接写死 $key = 'my-secret-123'; 是最常见也最危险的做法。真实项目中应按优先级选择:
- 从环境变量读取:用
getenv('APP_KEY')或更健壮的$_SERVER['APP_KEY'],启动时通过APP_KEY=xxx php script.php传入,确保 shell 历史不记录(加空格或改用env命令) - 从文件读取(推荐):密钥存于
/etc/myapp/key.bin或用户家目录下的~/.myapp/key,PHP 用file_get_contents()读取,注意设置文件权限为600,且脚本需有读取权限 - 从 stdin 交互输入(仅调试):用
stream_get_line(STDIN, 1024, PHP_EOL),但无法用于自动化任务,且容易被ps aux短暂看到参数
为什么不能用 $_GET 或 $_POST 在 CLI 里传密钥
CLI 模式下 $_GET、$_POST、$_COOKIE 全是空数组,它们依赖 SAPI(如 Apache 或 FPM)解析 HTTP 请求。你在终端执行 php cli.php?secret=abc,问号及之后的内容会被 shell 当作参数传递给 php 进程,PHP 解析后放进 $argv,而不是 $_GET。
正确做法是用 $argv 或 getopt():
立即学习“PHP免费学习笔记(深入)”;
php cli.php --key=xxx
然后在脚本中:
$options = getopt('', ['key:']);
$key = $options['key'] ?? null;
⚠️ 但这样密钥会出现在 ps aux 输出和 shell 历史中,仅限本地测试。
openssl\_sign() 和 hash\_hmac() 该选哪个
两者都可用于签名,但语义和安全性边界不同:
-
openssl_sign()做非对称签名(需私钥),适合验证身份,如生成 JWT 的 RS256 签名;私钥必须严格保护,不能从环境变量明文传入,建议用openssl_pkey_get_private('file:///path/to/key.pem') -
hash_hmac()做对称签名(只需一个密钥),适合数据完整性校验,如 API 请求签名;密钥可来自环境变量或文件,但长度建议 ≥32 字节,避免弱密钥(如全数字或短字符串) - 别用
md5($data . $key)替代hash_hmac()—— 它易受长度扩展攻击,PHP 官方已明确警告
密钥本身没“CLI 模式专属用法”,关键在加载时机、存储位置和使用上下文。最容易被忽略的是:CLI 脚本常以 root 或高权限用户运行,一旦密钥泄露,后果比 Web 请求严重得多;务必检查 opcache.enable_cli=0(防止密钥被缓存进 opcode),并确认日志中没有意外打印 $key 或 $argv。
