PHP：mycrypt密鑰？

Question

請不要介意我問這個問題，但是我是php的新手，我需要加密和解密密碼。 我想通過URL發送密碼，因此聽說這是使用mycrypt的最安全方法。

我無法通過mycrypt函數中的KEY得到東西嗎？ 那不應該像密碼本身一樣秘密。 例如，我正在使用PHP手冊中的以下功能：

    <?php
    $iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
    $iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
    $key = "this is my personal decryption key";
    $text = "Meet me at 11 o'clock behind the monument.";
    echo strlen($text) . "\n";

    $crypttext = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $key, $text, MCRYPT_MODE_ECB, $iv);
    echo strlen($crypttext) . "\n";
    ?>

我可以將$ key設置為我想要的嗎？ 如果有人在我設置此$ key的位置下載我的文檔源怎么辦？ 他能夠輕松地再次解密$ text。 是不是 還是我使用此功能出錯？

Answer 1

使用TLS（HTTPS）可能更簡單，更安全。 這可以使用相同的技術（例如AES / Rijndael），但是可以為您處理許多細節，包括密鑰分發。 如果使用mcrypt，則需要找出一種安全的方式來交換密鑰和IV（初始化向量）。

您顯然還需要保護密鑰和IV。 因此，如果它嵌入在您的PHP文件中，則必須注意保護該文件的安全。 不過，記住服務器端和客戶端之間的區別很重要。 除非腳本中有錯誤，否則密鑰不會泄漏到生成的HTML文件中。