加密字段无法直接用明文where查询,因密文与明文无映射关系;正确做法是php端用相同算法、密钥、iv加密查询条件后匹配密文,仅支持等值查询,不支持like或范围查询。
直接查加密数据是不可能的——数据库里存的是密文,WHERE 条件用明文去比对,永远不匹配。必须换思路:要么查前解密(不现实),要么把查询条件加密后比对(可行但有局限),或者改用支持加密字段模糊/等值查询的方案。
加密字段不能直接用 WHERE name = '张三' 查询
常见错误是把用户输入的明文直接放进 SQL:SELECT * FROM users WHERE phone = '13800138000',而数据库里 phone 存的是 AES 加密后的二进制或 base64 字符串。结果必然是查不到。
- 加密具有单向性(哈希)或密钥依赖性(AES),明文和密文无固定映射关系,无法用 SQL 表达式逆推
- MySQL 5.7+ 虽支持
AES_ENCRYPT()/AES_DECRYPT(),但要求所有节点共享同一密钥,且密钥硬编码在 SQL 中,存在泄露和维护风险 - 如果用 PHP 加密后再查,如
$cipher = openssl_encrypt($input, 'AES-128-CBC', $key, 0, $iv),必须确保加解密参数(算法、模式、填充、IV)完全一致,否则解出来是乱码
推荐做法:查询时加密条件再比对(仅适用于等值查询)
适用于手机号、身份证号这类唯一性强、且业务允许「加密后精确匹配」的字段。核心是:PHP 端把查询值用和入库时**完全相同的逻辑加密**,再拿密文去数据库匹配。
白月生产企业订单管理系统GBK2.0 Build 080807
下载
请注意以下说明:1、本程序允许任何人免费使用。2、本程序采用PHP+MYSQL架构编写。并且经过ZEND加密,所以运行环境需要有ZEND引擎支持。3、需要售后服务的,请与本作者联系,联系方式见下方。4、本程序还可以与您的网站想整合,可以实现用户在线服务功能,可以让客户管理自己的信息,可以查询自己的订单状况。以及返点信息等相关客户利益的信息。这个功能可提高客户的向心度。安装方法:1、解压本系统,放在
- 入库和查询必须共用同一套加密函数,例如统一用
openssl_encrypt()+base64_encode(),且$key和$iv必须固定($iv建议存库或从配置读,别每次随机) - SQL 示例:
SELECT * FROM users WHERE encrypted_phone = ?,其中?是 PHP 加密后的字符串(注意:如果是二进制,字段类型需为BLOB;若存 base64,则用VARCHAR) - 不支持
LIKE、范围查询(BETWEEN)、大小于比较——因为加密会打乱原始顺序,密文之间无大小关系
更安全的替代方案:使用 MySQL 8.4+ 的 ENCODE() / DECODE() 或透明数据加密(TDE)
如果只是防备份泄露或磁盘窃取,优先考虑数据库层加密,而非应用层手动加解密。
立即学习“PHP免费学习笔记(深入)”;
-
ENCODE(str, pass)是 MySQL 自带的简单混淆函数(不推荐生产),而AES_ENCRYPT(str, key)要求 key 长度合规(如 128 位需 16 字节),且返回二进制,字段必须设为VARBINARY - 真正安全的做法是启用 MySQL 的 TDE(Transparent Data Encryption),对整个表空间加密,应用层无感知,也不用改代码——但需要企业版或 MySQL 8.4+ 社区版支持
- 如果必须支持模糊查询(如“查姓张的用户”),加密就不是正确选择,应改用字段级脱敏(如只显示
张**)+ 权限控制(如 DBA 不可查敏感字段)
加密字段查询本质是拿便利性换安全性,一旦选了就得接受功能退化。最容易被忽略的是 IV 处理——很多人每次加密用 random_bytes(16),却没把 IV 一并存库,导致后续根本无法解密或比对。要么固定 IV(牺牲部分安全性),要么加密时把 IV 拼在密文前(如 base64_encode($iv.$cipher)),查的时候再拆开。
