中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何保護php代碼安全

發布時間:2021-08-19 11:58:28 來源:億速云 閱讀:155 作者:小新 欄目:編程語言

這篇文章將為大家詳細講解有關如何保護php代碼安全,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

screw plus是一個開源的php擴展,作用是對php文件進行加密,網絡上提供php加密的服務很多,但大多都只是混淆級別的加密,被人拿到加密文件問只要有足夠耐心就能破解,與之不同的是,screw plus采用擴展來加解密,而且是全球金融業流行的高強度AES256加密,除非破解了服務器,否則黑客拿到了加密文件也只是一堆亂碼。

同一個加密級別的有ioncube和官方的zend guard,但這兩款都是收費的,一年至少數千元的費用并不值得普通開發者去嘗試,而使用screw plus,你不需要多花一分錢。

下面以LNMP一鍵安裝環境為例演示下screw plus的配置

首先克隆一份代碼到服務器

git clone https://git.oschina.net/splot/php-screw-plus.git

進入項目目錄,然后執行php的phpize文件,phpize是官方提供的可執行文件用于動態生成擴展開發環境,一般在php的bin目錄下可以找到。lnmp的phpize在/usr/local/php/bin/phpize

/usr/local/php/bin/phpize

Configuring for:

PHP Api Version:         20100412

Zend Module Api No:      20100525

Zend Extension Api No:   220100525

執行成功后可以看到當前的php api版本,擴展api版本等。下一步就可以開始配置了。配置命令為 ./configure --with-php-config=[php-config], [php-config]一般也在php的bin目錄下,寫絕對路徑就可以了。

./configure --with-php-config=/usr/local/php/bin/php-config

如果沒報錯,說明配置成功了,可以開始下一步編譯了。

編譯之前,我們可以修改加密的key,打開php_screw_plus.h可以看到開頭就是 #define CAKEY "..." ,把里面的值改為一個足夠復雜的key,最好16位以上,比如:9mqss6q7WsBpTMOZ

vi php_screw_plus.h

修改完畢之后,直接開始編譯,執行make命令,如果最后顯示Build complete.說明編譯成功,擴展在modules里面,如果報錯請根據提示進行修復,然后make clean之后重新編譯。

make

...

Build complete.

上面我們編譯的是解密程序,而加密程序也需要我們手動編譯一下,進入tools目錄執行make命令即可。如果沒有報錯,則擴展就全部編譯完成了。

cd tools/

make

然后需要把擴展的路徑加入到php.ini中,你可以把modules/php_screw_plus.so復制到php擴展目錄也可以直接在ini中加入絕對路徑,我一般傾向于絕對路徑這樣修改編譯了擴展也不需要重新復制過去。

vi php/etc/php.ini

加入絕對路徑例如

extension=/home/php_screw_plus-1.0/modules/php_screw_plus.so

然后重啟php服務 這時可以放個php文件輸出phpinfo信息,如果看到以下提示說明擴展生效了。

如何保護php代碼安全

下面還有最后一步,加密程序。

在擴展的tools目錄,執行./screw [路徑],[路徑]可以是單個文件也可以是文件夾,然后就可以實現加密了。

如何保護php代碼安全

加密完成后查看源碼,可以發現除了開頭的幾個英文字符外,其余的都成了亂碼。

如何保護php代碼安全

但是打開網站,php運行正常,如同沒有加密一樣。經過測試,解密速度大約為100M每秒,對php自身的性能損失非常小,一般不到20毫秒。

screw plus還有個功能,可阻止執行未經許可的php文件,這樣黑客就算上傳了代碼也然并卵。

同樣在php_screw_plus.h里修改,把STRICT_MODE后面的值改為1,然后make clean && make重新編譯并重啟php,然后打開之前加過密的網站,執行正常,但是我們隨意上傳個明文的php文件,結果是一片空白。

原因是未加密的php文件頭部不包含識別key,擴展會返回空內容,就算黑客獲取了key并加入也沒用,內容會被解密成亂碼仍然無法執行。經過screw plus的保護,即使網站整站被下載或被上傳了惡意代碼,也無法對網站造成損失。

關于“如何保護php代碼安全”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

php
AI

鸡东县| 商水县| 金乡县| 文化| 耿马| 东平县| 黄梅县| 广西| 潞西市| 临江市| 若尔盖县| 北辰区| 伊川县| 晋宁县| 凉山| 万全县| 南城县| 蓝山县| 禄丰县| 阜新市| 南陵县| 芦溪县| 山东省| 大洼县| 元氏县| 伊通| 定结县| 平泉县| 北川| 海安县| 谢通门县| 高要市| 铜鼓县| 城市| 富锦市| 肃南| 子长县| 盐津县| 阿拉尔市| 嵊州市| 佛冈县|