您不应该加密密码，而是应该使用像bcrypt这样的算法来散列它们。这个答案解释了如何在PHP中正确地实现密码哈希。不过，下面是加密/解密的方法:

$key = 'password to (en/de)crypt';
$string = ' string to be encrypted '; // note the spaces

加密:

$iv = mcrypt_create_iv(
    mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC),
    MCRYPT_DEV_URANDOM
);

$encrypted = base64_encode(
    $iv .
    mcrypt_encrypt(
        MCRYPT_RIJNDAEL_128,
        hash('sha256', $key, true),
        $string,
        MCRYPT_MODE_CBC,
        $iv
    )
);

解密:

$data = base64_decode($encrypted);
$iv = substr($data, 0, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC));

$decrypted = rtrim(
    mcrypt_decrypt(
        MCRYPT_RIJNDAEL_128,
        hash('sha256', $key, true),
        substr($data, mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC)),
        MCRYPT_MODE_CBC,
        $iv
    ),
    "\0"
);

警告:上面的示例加密信息，但不验证密文以防止篡改。您不应该依赖于未经身份验证的加密来获得安全性，特别是因为所提供的代码很容易受到填充oracle攻击。

参见:

https://stackoverflow.com/a/30189841/2224584 https://stackoverflow.com/a/30166085/2224584 https://stackoverflow.com/a/30159120/2224584

此外，不要只使用“密码”作为加密密钥。加密密钥是随机字符串。

在3v4l.org上演示:

echo 'Encrypted:' . "\n";
var_dump($encrypted); // "m1DSXVlAKJnLm7k3WrVd51omGL/05JJrPluBonO9W+9ohkNuw8rWdJW6NeLNc688="

echo "\n";

echo 'Decrypted:' . "\n";
var_dump($decrypted); // " string to be encrypted "

在处理加密时，有一件事你应该非常清楚:

试图变得聪明，发明自己的东西通常会给你留下一些不安全的东西。

最好使用PHP附带的一种加密扩展。

查看mycrypt(): http://us.php.net/manual/en/book.mcrypt.php

如果你使用postgres有pgcrypto用于数据库级加密。(便于搜索和分类)

这只能给你提供边际保护。如果攻击者可以在您的应用程序中运行任意代码，他们就可以以与您的应用程序完全相同的方式获得密码。如果您在文件中存储了一个秘密密钥，并使用它在进入db时加密，在退出时解密，您仍然可以从一些SQL注入攻击和错误的db备份中获得一些保护。但是您应该使用bindparams来完全避免SQL注入的问题。

如果决定加密，你应该使用一些高级加密库，否则你会出错。您必须正确地设置密钥、消息填充和完整性检查，否则所有加密工作都毫无用处。例如，GPGME就是一个很好的选择。Mcrypt水平太低，你可能会弄错。

安全警告:此代码不安全。除了容易受到选择密文攻击之外，它对unserialize()的依赖使其容易受到PHP对象注入的攻击。

要处理字符串/数组，我使用这两个函数:

function encryptStringArray ($stringArray, $key = "Your secret salt thingie") {
 $s = strtr(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key), serialize($stringArray), MCRYPT_MODE_CBC, md5(md5($key)))), '+/=', '-_,');
 return $s;
}

function decryptStringArray ($stringArray, $key = "Your secret salt thingie") {
 $s = unserialize(rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5($key), base64_decode(strtr($stringArray, '-_,', '+/=')), MCRYPT_MODE_CBC, md5(md5($key))), "\0"));
 return $s;
}

它很灵活，因为你可以通过URL存储/发送字符串或数组，因为字符串/数组在加密之前是序列化的。

安全警告:此代码不安全。

工作示例

define('SALT', 'whateveryouwant'); 

function encrypt($text) 
{ 
    return trim(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, SALT, $text, MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND)))); 
} 

function decrypt($text) 
{ 
    return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, SALT, base64_decode($text), MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND))); 
} 

$encryptedmessage = encrypt("your message"); 
echo decrypt($encryptedmessage); 

安全警告:这个类不安全。它使用的是Rijndael256-ECB，这在语义上并不安全。仅仅因为“它有效”并不意味着“它是安全的”。此外，由于没有使用适当的填充，它会剥离后面的空间。

最近发现这个类，它的工作就像一个梦!

class Encryption {
    var $skey = "yourSecretKey"; // you can change it

    public  function safe_b64encode($string) {
        $data = base64_encode($string);
        $data = str_replace(array('+','/','='),array('-','_',''),$data);
        return $data;
    }

    public function safe_b64decode($string) {
        $data = str_replace(array('-','_'),array('+','/'),$string);
        $mod4 = strlen($data) % 4;
        if ($mod4) {
            $data .= substr('====', $mod4);
        }
        return base64_decode($data);
    }

    public  function encode($value){ 
        if(!$value){return false;}
        $text = $value;
        $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
        $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
        $crypttext = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $this->skey, $text, MCRYPT_MODE_ECB, $iv);
        return trim($this->safe_b64encode($crypttext)); 
    }

    public function decode($value){
        if(!$value){return false;}
        $crypttext = $this->safe_b64decode($value); 
        $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
        $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
        $decrypttext = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $this->skey, $crypttext, MCRYPT_MODE_ECB, $iv);
        return trim($decrypttext);
    }
}

我们称它为:

$str = "My secret String";

$converter = new Encryption;
$encoded = $converter->encode($str );
$decoded = $converter->decode($encoded);    

echo "$encoded<p>$decoded";

即使您可以访问代码，对数据库中的数据进行加密/解密的最佳方法是使用两个不同的密码:每个用户的私有密码(user-pass)和所有用户的私有代码(system-pass)。

场景

user-pass与md5一起存储在数据库中，用于验证每个用户登录到系统。这个用户通行证对于每个用户都是不同的。 数据库中的每个用户条目都有一个用于数据加密/解密的系统密码。这个system-pass对于每个用户都是相同的。 每当用户从系统中删除时，所有在旧系统密码下加密的数据都必须在新的系统密码下再次加密，以避免安全问题。