openssl_error_string() 不要依赖错误信息作为逻辑判断

不应该将 OpenSSL 错误信息直接用于程序的逻辑控制，而是应该将其作为调试和记录的辅助手段。这是因为 OpenSSL 错误信息的格式和内容可能会因 OpenSSL 版本、操作系统环境等因素而发生变化，直接依赖这些信息可能会导致代码的不稳定和难以维护。

为什么不能依赖错误信息作为逻辑判断？

1. 错误信息的不稳定性

• 版本差异：不同版本的 OpenSSL 库可能会返回不同的错误信息。例如，某些错误代码或描述在新版本中可能被修改或替换。
• 环境差异：在不同的操作系统或配置下，错误信息的格式或内容可能略有不同。

2. 错误信息的可读性

• 错误信息通常是面向开发者的，而不是面向最终用户的。它们可能包含技术细节，不适合直接展示给用户。
• 错误信息的格式和内容可能难以直接用于逻辑判断，因为它们通常是为了描述问题的细节，而不是为了提供明确的错误类型。

3. 代码的可维护性

• 如果直接依赖错误信息进行逻辑判断，代码的可维护性会降低。当 OpenSSL 版本升级或环境发生变化时，可能需要重新调整错误处理逻辑。
• 更好的做法是使用返回值（如函数的返回码）来判断操作是否成功，而不是依赖错误信息。

正确的做法

1. 使用返回值进行逻辑判断

OpenSSL 函数通常会返回一个明确的返回值，表示操作是否成功。例如：

• openssl_verify() 返回 1 表示验证成功，0 表示验证失败，-1 表示出现错误。
• openssl_pkey_get_public() 返回一个资源表示成功，返回 false 表示失败。

$res = openssl_pkey_get_public("file://path/to/public/key.pem");
if ($res === false) {// 处理失败逻辑while ($msg = openssl_error_string()) {error_log("OpenSSL Error: " . $msg);}
} else {// 处理成功逻辑openssl_free_key($res);
}

2. 记录错误信息用于调试

错误信息可以记录到日志文件中，用于调试和问题排查。这样可以保留错误的详细信息，而不依赖它们进行逻辑判断。

$result = openssl_verify($data, base64_decode($sign), $res, OPENSSL_ALGO_SHA256);
if ($result !== 1) {// 记录错误信息while ($msg = openssl_error_string()) {error_log("OpenSSL Error: " . $msg);}// 返回失败逻辑return false;
}

3. 提供用户友好的错误提示

如果需要向用户显示错误信息，应该提供一个用户友好的错误提示，而不是直接显示 OpenSSL 的错误信息。

if ($result !== 1) {// 记录错误信息到日志while ($msg = openssl_error_string()) {error_log("OpenSSL Error: " . $msg);}// 向用户显示友好的错误提示echo "验证失败，请稍后再试。";
}

总结

• 不要依赖错误信息作为逻辑判断：错误信息主要用于调试和记录，而不是用于控制程序逻辑。
• 使用返回值进行逻辑判断：依赖函数的返回值来判断操作是否成功。
• 记录错误信息：将错误信息记录到日志文件中，便于后续排查问题。
• 提供用户友好的错误提示：向用户显示友好的错误提示，而不是直接显示技术性的错误信息。

php对接支付宝网关的时候，被他的错误提示折磨了好久，痛苦面具。

error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag
error:0D06C03A:asn1 encoding routines:asn1_d2i_ex_primitive:nested asn1 error
error:0D08303A:asn1 encoding routines:asn1_template_noexp_d2i:nested asn1 error
error:04093004:rsa routines:old_rsa_priv_decode:RSA lib
error:0909006C:PEM routines:get_name:no start line