应使用 openssl_encrypt_init/update/final 分块加密替代 openssl_encrypt,避免 file_get_contents 读全文件导致内存爆满;需二进制流式读写、及时 fwrite、妥善管理 iv 和 salt,并注意 PHP 7.4+ 版本要求。
openssl_encrypt 内存爆满是因为一次性读全文件
PHP 的 openssl_encrypt 本身不支持流式加密,传入的明文必须是完整字符串。大文件(比如 500MB 视频)直接 file_get_contents 读入内存,PHP 进程瞬间吃光几百 MB,触发 OOM 或被系统 kill。
- 别用
file_get_contents($path)+openssl_encrypt组合处理 >10MB 的文件 - 真实场景中,
openssl_encrypt的$data参数是 string 类型,没有“分块接口”,强行传大字符串就是自找卡顿 - 正确思路不是调参数,而是绕开它——改用支持分块的底层机制:OpenSSL 命令行或 PHP 的
openssl_*_init系列函数
用 openssl_encrypt_init / update / final 手动分块
这套函数才是真正的流式加密入口,和 OpenSSL 命令行行为一致,全程只保留加密上下文和当前块,内存占用稳定在 KB 级。
-
openssl_encrypt_init创建加密上下文,返回 resource,需指定 cipher(如AES-256-CBC)、mode、key、iv -
openssl_encrypt_update每次传入一块数据(建议 8192 字节),返回加密后的 chunk -
openssl_encrypt_final收尾,处理 padding 并返回最后一段密文 - 注意 iv 必须是随机生成且与 key 长度匹配(如 AES-256-CBC 要 16 字节 iv),不能复用
```php
$ctx = openssl_encrypt_init('AES-256-CBC', $key, $iv);
while (!feof($fp_in)) {
$chunk = fread($fp_in, 8192);
if ($chunk !== false) {
$encrypted .= openssl_encrypt_update($ctx, $chunk);
}
}
$encrypted .= openssl_encrypt_final($ctx);
```写入密文时别拼接字符串,直接 fwrite
即使分块加密,如果把每块结果都 .= 拼到一个变量里,PHP 仍会不断 realloc 字符串内存,对大文件仍是灾难。
- 打开输出文件用
fopen($out_path, 'wb'),每次openssl_encrypt_update后立刻fwrite($fp_out, $chunk) -
openssl_encrypt_final的结果也直接fwrite,避免中间变量 - 确保输入文件用
fopen($in_path, 'rb'),二进制模式防止 Windows 下换行符干扰 - 加密后记得保存 iv 和 salt(如果用了 PBKDF2 衍生 key),否则无法解密——这些元数据建议写在密文开头或单独 header 文件
PHP 版本低于 7.4 时 openssl_encrypt_init 不可用
这套流式 API 是 PHP 7.4 引入的,旧版本只能退回到 shell_exec 调用系统 OpenSSL,但要注意路径、权限和错误捕获。
立即学习“PHP免费学习笔记(深入)”;
- 检查版本:
PHP_VERSION_ID 就别硬用 init/update/final - 替代方案:
shell_exec("openssl enc -aes-256-cbc -salt -in {$input} -out {$output} -k '{$password}' 2>&1") - 必须加
2>&1捕获 stderr,否则加密失败静默吞掉(比如密码含特殊字符未转义) - 敏感密码不要拼进命令行,改用
-pass file:...或 stdin 方式传入
分块本身不难,难的是 iv 管理、错误判断位置、以及旧版本兜底逻辑——这三个地方漏一个,加密出来的文件大概率解不开。
