MS PHP SQL 驱动中 OpenSSL 初始化与关闭的冲突问题分析

问题背景

在使用 PHP 的 MS SQL Server 驱动程序（msphpsql）时，开发人员遇到了一个特殊的 SSL 相关错误。当同时使用 PDO_SQLSRV 连接 SQL Server 和 cURL 进行 HTTPS 请求时，如果 cURL 的证书验证失败，会导致 SQL Server 连接也出现 SSL 错误。

问题现象

具体表现为：当 cURL 请求因证书验证失败（如无法获取本地颁发者证书）而报错后，尝试回滚 SQL 事务时，会触发以下错误：

SSL Provider: [error:140E0197:SSL routines:SSL_shutdown:shutdown while in init]

环境配置

• PHP 8.2.19
• PDO_SQLSRV 5.12.0
• Microsoft ODBC Driver 18.3.2.1
• MS SQL Server 2022
• Ubuntu 22.04.4 LTS
• OpenSSL 1.1.1f 和 3.0.2

问题复现条件

该问题仅在以下特定条件下出现：

1. 在 PDO 连接字符串中设置了 TrustServerCertificate=yes
2. cURL 设置了 CURLOPT_SSL_VERIFYPEER 为 true 且证书验证失败
3. 在 cURL 请求失败后尝试回滚 SQL 事务

技术分析

根本原因

经过深入分析，发现这是 libcurl 库中的一个已知问题。当 cURL 进行 SSL 证书验证失败时，它没有正确清理 OpenSSL 的状态，导致 OpenSSL 仍处于初始化状态（SSL_in_init() 返回 true）。此时如果 SQL Server 驱动程序尝试关闭 SSL 连接，就会触发 SSL_shutdown 错误。

组件交互

1. cURL 组件：负责发起 HTTPS 请求并进行 SSL 证书验证
2. PDO_SQLSRV 驱动：管理与 SQL Server 的 SSL 加密连接
3. OpenSSL 库：被上述两个组件共享使用

当 cURL 验证失败时，它没有正确释放 OpenSSL 资源，导致后续 SQL Server 驱动在尝试关闭连接时遇到冲突。

解决方案

临时解决方案

1. 将 cURL 的 CURLOPT_SSL_VERIFYPEER 设为 false（不推荐，会降低安全性）
2. 移除 PDO 连接字符串中的 TrustServerCertificate=yes 参数
3. 确保使用正确的 CA 证书路径，避免 cURL 证书验证失败

永久解决方案

升级 libcurl 到 8.3.0 或更高版本，该版本已修复此问题。新版本的 curl 会正确处理 OpenSSL 状态，避免在验证失败后留下未清理的资源。

最佳实践建议

1. 版本管理：保持所有相关组件（PHP、驱动、curl、OpenSSL）为最新稳定版本
2. 错误处理：在代码中添加适当的异常处理，特别是涉及多个网络操作的场景
3. 证书管理：确保正确配置 CA 证书路径，避免证书验证失败
4. 连接管理：考虑将数据库操作和 HTTP 请求分离到不同的执行上下文中

总结

这个问题展示了在复杂应用中多个组件共享底层库时可能出现的微妙交互问题。开发人员在使用加密连接时应当注意组件间的兼容性，并及时更新依赖库以获取最新的安全修复和稳定性改进。