不幸的是，我看到大多野路子PHPer喜欢自己搞一套加密算法，7，8年前，有人在最大的PHP语言论坛发帖说自己搞了一套加密算法，为此我还跟其争论了很久。8年后，自己搞加密算法的人少了，然而多语言开发变得越来越普遍，但愿少一些喜欢用私货的PHPer。希望对大家学习PHP语言有所帮助。

好久不上SG，刚登陆SG，看到了一年前对SG某个贴子的回复和一些讨论（PHP处理密码的几种方式）。贴子里提到了几种常用的加密方法，对其中大部分内容我还是同意的，但对部分内容持否定态度。

   文中提到了Bcrypt和Password Hashing API这两个东西。这两个东西，非PHP程序员肯定不清楚，因为这是PHP里的私有实现。具体说就是PHP语言自己把一些算法杂糅在一起，然后通过改装产生的一系列加密算法。比如，Password Hashing API是PHP 5.5之后有的新特性，它主要是提供下面几个函数供PHPer使用:

password_hash() – 对密码加密.password_verify() – 验证已经加密的密码，检验其hash字串是否一致.password_needs_rehash() – 给密码重新加密.password_get_info() – 返回加密算法的名称和一些相关信息.

    通过PHP文档，大致可以了解到hashing API实际就是对crypt的封装，而crypt又是什么鬼呢？PHP官方的文档说了，crypt() 返回一个基于标准 UNIX DES 算法或系统上其他可用的替代算法的散列字符串。说白了就是一个散列函数，但是和我们常见的不同，是PHP自己又做了一层封装，包括对可选算法和秘钥产生的自动处理。我们知道，PHP是C语言的一种脚本，很显然这个crypt来自于原始的linux和C下。PHP通过用户提供的盐值的样式来使用不同的加密方式，这野路子就野的就有点尴尬了。而且PHP文档还提到：

    从 PHP 5.3.0 起，PHP 包含了它自己的实现，并将在系统缺乏相应算法支持的时候使用它自己的实现。

    这就有问题了。

    PHP的这些私货，在其他语言里行得通吗？我记得6年前，我在用Java做移动项目时，有同事拿来了一套PHP的系统，这套系统已经有一定的用户人群了，现在需要整合这两套系统的用户。问题出来了，PHP系统用的PHP的crypt函数来加密密码的，Java无法处理，网上Google了java版的crypt加密，结果当然是没用的。完全没辙了，看PHP手册，PHP手册说得很含糊，看PHP源码也没看出啥头绪。研究了一个下午后，最后决定是重置所有用户密码，了事。

    当然，可能有人会说，可以用oauth做第三方授权啊，但是2010年的时候，oauth也仅仅是刚发展而已，而且当时的业务也不适合用oauth的方案去解决。或许还有人想，可以用PHP提供服务啊，可是仅仅为了一个加密就配一套PHP环境，真的好么？还有人会说，凭啥PHP要照顾你其他语言，那请你走开！此后，又看到这么加密的我就头疼。

   问题就在这。PHP的私货导致Java无法简单快捷地处理PHP加密后的数据。仅仅是Java无法处理吗？我还Google了python，C#，Lua，JavaScript等语言对PHP这套东西的兼容性，问题很多。除非你对加密算法细节了解的很深，并且去深入阅读PHP的C源码。可是，至于吗？那么多标准的，通用的加密函数为什么不用，非要用私货？你做的只是一个网站，而不是军工产品。网站是需要交互，需要协作的。

    IT界老同志早就告诫过我们，“不要自己实现私有加密算法”，一方面是告诫我们不要自不量力自己搞一套标准出来，另外一方面也告诉我们，尽量保证加密算法的兼容性，方便移植。完全可以使用兼容性更好的AES,XXTEA，RSA等算法，这些算法一方面主流语言都有兼容的实现，另一方面加密强度都足够保证安全性。

    不幸的是，我看到大多野路子PHPer喜欢自己搞一套加密算法，7，8年前，有人在最大的PHP论坛发帖说自己搞了一套加密算法，为此我还跟其争论了很久。8年后，自己搞加密算法的人少了，然而多语言开发变得越来越普遍，但愿少一些喜欢用私货的PHPer。

   本文由职坐标整理并发布，了解更多内容，请关注职坐标编程语言PHP频道！