如何从AES加密字符串添加/删除PKCS7填充？

让我们来看看。 RFC 5652（加密消息语法）中描述了PKCS＃7。

填充方案本身在6.3. Content-encryption Process部分给出。它基本上说：根据需要附加许多字节来填充给定的块大小（但至少有一个），并且每个字节都应该将填充长度作为值。

因此，查看最后一个解密的字节，我们知道要剥离多少字节。 （也可以检查它们是否都具有相同的值。）

我现在可以给你一对PHP函数来做到这一点，但我的PHP有点生疏。所以要么自己做（然后随意编辑我的答案添加它），或者看看user-contributed notes到mcrypt文档 - 其中一些是关于填充并提供PKCS＃7填充的实现。

所以，让我们详细看看first note there：

<?php

function encrypt($str, $key)
 {
     $block = mcrypt_get_block_size('des', 'ecb');

这将获得所使用算法的块大小。在你的情况下，你会使用aes或rijndael_128而不是des，我想（我没有测试它）。 （相反，您可以简单地将16用于AES，而不是调用该函数。）

     $pad = $block - (strlen($str) % $block);

这会计算填充大小。 strlen($str)是数据的长度（以字节为单位），% $block给出了模数为$block的余数，即最后一个块中的数据字节数。因此，$block - ...给出了填充最后一个块所需的字节数（现在这是1和$block之间的一个数字，包括在内）。

     $str .= str_repeat(chr($pad), $pad);

str_repeat产生一个由重复相同的字符串组成的字符串，这里重复character given by $pad，$pad次，即一串长度$pad，充满$pad。 $str .= ...将此填充字符串附加到原始数据。

     return mcrypt_encrypt(MCRYPT_DES, $key, $str, MCRYPT_MODE_ECB);

这是加密本身。使用MCRYPT_RIJNDAEL_128而不是MCRYPT_DES。

 }

现在另一个方向：

 function decrypt($str, $key)
 {   
     $str = mcrypt_decrypt(MCRYPT_DES, $key, $str, MCRYPT_MODE_ECB);

解密。 （你当然会改变算法，如上所述）。 $ str现在是解密的字符串，包括填充。

     $block = mcrypt_get_block_size('des', 'ecb');

这又是块大小。 （往上看。）

     $pad = ord($str[($len = strlen($str)) - 1]);

这看起来有点奇怪。最好用多个步骤编写它：

    $len = strlen($str);
    $pad = ord($str[$len-1]);

$len现在是填充字符串的长度，而$str[$len - 1]是此字符串的最后一个字符。 ord将此转换为数字。因此，$pad是我们之前用作填充的填充值的数字，这是填充长度。

     return substr($str, 0, strlen($str) - $pad);

所以现在我们从字符串中切掉最后一个$pad字节。 （而不是strlen($str)我们也可以在这里写$len：substr($str, 0, $len - $pad)。）。

 }

?>

请注意，不是使用substr($str, $len - $pad)，也可以编写substr($str, -$pad)，因为PHP中的substr函数对负操作数/参数有特殊处理，从字符串的末尾开始计数。 （我不知道这是否比首先获得长度和手动计算索引更有效率。）

如前所述并在rossum的评论中指出，你应该检查它是否正确 - 例如，查看substr($str, $len - $pad)，并检查其所有字节是否为chr($pad)。这可以作为对腐败的轻微检查（尽管如果使用链接模式而不是ECB，这种检查更有效，并且不能替代真正的MAC）。

（并且仍然告诉您的客户他们应该考虑改为比ECB更安全的模式。）

我创建了两种方法来执行填充和取消填充。这些函数使用phpdoc记录并需要PHP 5.正如您将注意到，unpad函数包含大量异常处理，为每个可能的错误生成不少于4个不同的消息。

要获得PHP mcrypt的块大小，可以使用mcrypt_get_block_size，它还将块大小定义为以字节为单位而不是位。

/**
 * Right-pads the data string with 1 to n bytes according to PKCS#7,
 * where n is the block size.
 * The size of the result is x times n, where x is at least 1.
 * 
 * The version of PKCS#7 padding used is the one defined in RFC 5652 chapter 6.3.
 * This padding is identical to PKCS#5 padding for 8 byte block ciphers such as DES.
 *
 * @param string $plaintext the plaintext encoded as a string containing bytes
 * @param integer $blocksize the block size of the cipher in bytes
 * @return string the padded plaintext
 */
function pkcs7pad($plaintext, $blocksize)
{
    $padsize = $blocksize - (strlen($plaintext) % $blocksize);
    return $plaintext . str_repeat(chr($padsize), $padsize);
}

/**
 * Validates and unpads the padded plaintext according to PKCS#7.
 * The resulting plaintext will be 1 to n bytes smaller depending on the amount of padding,
 * where n is the block size.
 *
 * The user is required to make sure that plaintext and padding oracles do not apply,
 * for instance by providing integrity and authenticity to the IV and ciphertext using a HMAC.
 *
 * Note that errors during uppadding may occur if the integrity of the ciphertext
 * is not validated or if the key is incorrect. A wrong key, IV or ciphertext may all
 * lead to errors within this method.
 *
 * The version of PKCS#7 padding used is the one defined in RFC 5652 chapter 6.3.
 * This padding is identical to PKCS#5 padding for 8 byte block ciphers such as DES.
 *
 * @param string padded the padded plaintext encoded as a string containing bytes
 * @param integer $blocksize the block size of the cipher in bytes
 * @return string the unpadded plaintext
 * @throws Exception if the unpadding failed
 */
function pkcs7unpad($padded, $blocksize)
{
    $l = strlen($padded);

    if ($l % $blocksize != 0) 
    {
        throw new Exception("Padded plaintext cannot be divided by the block size");
    }

    $padsize = ord($padded[$l - 1]);

    if ($padsize === 0)
    {
        throw new Exception("Zero padding found instead of PKCS#7 padding");
    }    

    if ($padsize > $blocksize)
    {
        throw new Exception("Incorrect amount of PKCS#7 padding for blocksize");
    }

    // check the correctness of the padding bytes by counting the occurance
    $padding = substr($padded, -1 * $padsize);
    if (substr_count($padding, chr($padsize)) != $padsize)
    {
        throw new Exception("Invalid PKCS#7 padding encountered");
    }

    return substr($padded, 0, $l - $padsize);
}

这并没有以任何方式使PaŭloEbermann的答案无效，它在代码和phpdoc中基本上是相同的答案而不是描述。

请注意，向攻击者返回填充错误可能会导致填充oracle攻击，这会完全破坏CBC（当使用CBC而不是ECB或安全身份验证的密码时）。

解密数据后，只需调用以下函数即可

function removePadding($decryptedText){
    $strPad = ord($decryptedText[strlen($decryptedText)-1]);
    $decryptedText= substr($decryptedText, 0, -$strPad);
    return $decryptedText;
}