¿Qué sucede cuando se usa la clave incorrecta (tercer parámetro) en openssl_decrypt () en PHP?

Esto es probable porque openssl_encrypt usa el relleno PKCS7 de forma predeterminada. El FALSO probablemente ocurre cuando el relleno no es válido.

Es posible obtener el resultado incorrecto de descifrado si el relleno se mantiene intacto. Debe usar un modo autenticado como GCM o adjuntar un HMAC.

Sí, es posible que openssl_decrypt devuelva basura cuando se usa la clave incorrecta. Aquí hay un ejemplo de código donde sucede:

<?php
# Encrypt some text.
$iv = "underconsumption";
$key = "secret";
$plaintext = "hello world";
$encrypted_content = openssl_encrypt($plaintext, 'aes-256-cbc', $key, 0, $iv);

# Try decrypting with correct key.
$result = openssl_decrypt($encrypted_content, 'aes-256-cbc', $key, 0, $iv);
echo "Decrypted with correct key: $result\n";

# Using the wrong key sometimes results in garbage.
$key = 'saacua';
$result = openssl_decrypt($encrypted_content, 'aes-256-cbc', $key, 0, $iv);
echo "Decrypted with incorrect key: $result\n";
?>

Esto imprime esto:

Decrypted with correct key: hello world
Decrypted with incorrect key: �O�@D�b���k��