我正在考虑保护我的脚本以保护大多数用户(非网络开发人员),我遇到了一个在线服务来编码 php 脚本。不过我不确定。
加密php脚本安全吗?如果编码后的代码有问题怎么办?
【问题讨论】:
标签: php security obfuscation software-distribution
如果您打算分发 PHP 文件,那么我建议您不要这样做。它只会激怒那些想要修补它的人。
如果出于某种原因你不希望他们修改它,那么不要分发 PHP 文件。
如果您需要分发文件并且不希望他们修改它,那么我强烈建议您不要在 PHP 中执行此操作,而是使用 C 作为 PHP 的扩展来编写功能。
您会注意到,我绝不建议您实际继续“编码”php 文件。那不会给你买任何东西。
【讨论】:
如果您希望混淆服务器端 PHP,最好的选择是使用 Zend Guard (http://www.zend.com/en/products/guard/) 等商业产品。任何自制加密都不安全 - 您的代码可以很容易地通过相当微不足道的努力进行逆向工程。您链接到的页面没有任何可信度,它只是某人的副业。他们对保护您的信息没有任何责任或利益。
即使是这些商业产品(Zend Guard、ionCube、phpShield、SourceGuardian),如果有人真的非常想解密,也可以解密。任何语言的工具或技术都无法进行绝对安全的混淆,没有“不可破解”的系统。随着时间的推移,一切都归结为努力。
如果它不够重要而不能正确地做,那么你可能在这个问题上浪费了你的时间。此外,如果某些信息或代码的私密性绝对是至关重要的,那么您根本不应该将其公开。
[为清楚起见进行了编辑]
【讨论】:
最终,您需要信任加密方。如果您不信任他们(显然您不信任),那么不要让他们访问您的服务器(通过执行他们的解密代码/您的混淆代码,可能还有谁知道里面还有什么)。就这么简单,尽管可能不方便。
【讨论】:
php 通常运行在服务器上,用户无论如何都无法访问代码(无论是源代码还是任何其他表示形式)。没有理由在那里混淆它。
混淆 php 仅在您将 php 代码提供给客户端的极少数情况下有用。例如,如果您希望客户端能够运行自己的服务器,但不授予他们对代码的完全访问权限。
【讨论】:
所以,看起来它所做的只是混淆了代码,因此它不适合人类阅读。这真正有用的唯一方法是防止可以访问代码的懒人阅读它。但是,它使用简单的函数来编码/解码,因此如果有人可以访问它,将很容易对其进行解码。
这让我明白了... PHP 安全性的工作原理是不允许任何人访问源文件。如果不应该访问的人得到它,那么这个“编码”的东西对你没有任何好处。
【讨论】:
OP 提到了保护数据库连接细节的兴趣,应该记住,无论代码本身使用什么保护系统,开源的 PHP 引擎和组件库都对可以保护的内容设置了一些绝对限制。达到。例如,如果 MySQL 连接详细信息隐藏在脚本中,那么这些详细信息可以在不接近 PHP 脚本本身的情况下简单地显示出来,只需通过对 MySQL 库或相关 PHP 模块包装器进行轻微修改的 PHP 构建运行脚本.在这种情况下,即使按照 Chris L. 的建议将细节隐藏在 C 模块中也不会提供额外的保护。使用 ionCube 和 Zend 等编译代码系统当然可以为源代码提供良好的保护,但只要数据在 PHP 核心中遇到例程,就会暴露出来。
显然,对于您可能会发送敏感详细信息的任何在线服务,您应该尽职调查并尽最大努力确保它具有良好的血统。除此之外,OP 所质疑的网站没有有效的 https URL 应该立即警告说这是不行的,不仅仅是因为缺乏连接加密,而是表明他们没有提供他们认为是的服务严重。
【讨论】: