我正在尝试开发一个使用SSL连接到MySQL服务器的PHP应用程序。我尝试过使用mysql_connect,效果很好,但使用PDO就不行了。当我尝试连接时,我得到以下错误:
PDO::__construct():此流不支持SSL/加密
奇怪的是,如果我调整证书路径(指向不存在的文件),我会得到同样的错误!
我在Debian Squeeze上使用php5.3.10,安装了以下软件包:
php5-cgi
php5-cli
php5-common
php5-fpm
php5-gd
php5-mcrypt
php5-mysql
php5-suhosin
知道吗?感谢
您需要删除php-mysql并安装php-mysqlnd。关于Centos:
sudo yum remove php-mysql
sudo yum install php-mysqlnd
sudo yum reboot
Ubuntu/Debian
sudo apt-get remove php5-mysql
sudo apt-get install php5-mysqlnd
sudo reboot
mysqli程序:
$con=mysqli_init();
if (!$con)
{
die("mysqli_init failed");
}
mysqli_ssl_set($con,'/ssl/client-key.pem','/ssl/client-cert.pem', '/ssl/ca.pem',NULL,NULL);
if (!mysqli_real_connect($con,'xx.xxx.xxx.xxx', 'user', 'pass' ,'dbname'))
{
die("Connect Error: " . mysqli_connect_error());
}
mysqli_close($con);
?>
PDO-
$ssl = array(
PDO::MYSQL_ATTR_SSL_KEY =>'/ssl/client-key.pem',
PDO::MYSQL_ATTR_SSL_CERT=>'/ssl/client-cert.pem',
PDO::MYSQL_ATTR_SSL_CA =>'/ssl/ca.pem'
);
try {
$dbl = new PDO("mysql:host=$host;dbname=$database", $user, $password, $ssl);
$dbl->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
echo $e->getMessage();
die;
}
您的证书路径必须正确。在SSL中尝试此操作以确保文件在那里:
if(file_exists('/ssl/client-key.pem') && file_exists('/ssl/client-cert.pem') && file_exists('/ssl/ca.pem')) echo 'file exists';
远程主机(数据库服务器)还必须启用SSL。运行查询
SHOW VARIABLES LIKE '%ssl%';
输出:
+---------------+----------------------+
| Variable_name | Value |
+---------------+----------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /ssl/ca.pem |
| ssl_capath | |
| ssl_cert | /ssl/server-cert.pem |
| ssl_cipher | DHE-RSA-AES256-SHA |
| ssl_key | /ssl/server-key.pem |
+---------------+----------------------+
如果它被禁用,它将不起作用。您的/etc/my.cnf(或您的my.cnf所在的位置)必须包含:
ssl-ca=/ssl/ca.pem
ssl-cert=/ssl/server-cert.pem
ssl-key=/ssl/server-key.pem
ssl-cipher=DHE-RSA-AES256-SHA
MySQL生成密钥的资源:http://dev.mysql.com/doc/refman/5.0/en/creating-ssl-files-using-openssl.html
最后,DHE密码不再被认为是安全的。密码不断被破解,所以你必须找出今天被认为安全的密码。
您的模块列表不包括openssl
您可以使用php -m
检查已编译的模块。您可以通过运行php -a
然后执行var_dump(get_loaded_extensions());
来检查运行时加载的所有模块
为了使用SSL连接,您需要将其编译或作为扩展加载。
如果扩展存在于磁盘上(请检查php扩展目录-在php.ini
中的位置),然后也检查php.ini
中的行extension=php_openssl.so
,并确保它没有被注释掉。