php - 使用 AES_ENCRYPT 的最佳做法是什么？它的安全性如何？

Question

有人要求我研究如何加密表单提交数据并确保它安全地存储在数据库中。提交的表格将包含有关员工的个人详细信息，必须确保这些信息的安全。

我在研究过程中遇到了 AES_ENCRYPT() 并成功地应用了这个函数，以便它成功地将数据存储在数据库中。

我使用的示例 SQL 语句:

"INSERT INTO employee (firstname) VALUES (AES_ENCRYPT('$name', '$encryption_key'))"

但是，我在这方面的知识非常有限，不确定这是否足以防止数据被黑客攻击。这提供什么级别的安全性？有什么我遗漏的或我可以用来改进我的实现的其他技术吗？

此外，我已将加密 key 存储在一个单独的 PHP 文件中，但我不知道推荐的存储方式是什么。对此有任何建议将不胜感激。

如果这个问题含糊不清或范围很广，我们深表歉意。我是这个领域的初学者。如果需要，我很乐意提供更多信息。

Answer 1

AES (Rijndael) crypto非常安全。实际上，除非您的数据非常有值(value)，否则您可以认为它是安全的。除非某个拥有大量资源的参与者决定他们想要破解您的加密，否则没有人会这么做。

但是它是对称的。它使用相同的 key 来加密和解密内容。因此，您可以认为它与您的 key 一样安全。

您的 key 不安全。如果 cybercreep 破解了运行您的 php 代码的服务器，他们会立即获得您的 key 。这使他们可以访问您的加密数据。他们有一个明亮的 NEON 路标，上面写着“这是我认为敏感的数据”。

不要忘记安全取决于薄弱环节。通常，使用您的金钱和时间来保护您的服务器比在 dbms 的几列上使用对称加密更明智。换句话说，您可能是在浪费时间进行基于列的加密。

如果您绝对必须加密静态数据，您应该考虑使用非对称(公钥/私钥)密码系统。使用公钥加密内容，并将私钥保存在气隙安全系统中，以防您需要解密某些数据。

您的示例(名字)不够敏感，不值得这么麻烦。