PHP代码可以文本查看,那么如果我虚拟机,是不是所有可以登录这台机器且有权限访问我虚拟目录的人都可以拿走我的代码,起码是可能的。
查了下zend gard可以用来加密代码,服务器要有zend optim组件就能运行加密的PHP代码。
我比较关心性能损失。回家再研究吧。先mark出来
补充1:
http://www.zend.com/en/products/guard/
官方宣称Zend Guard支持PHP 5.3
Zend Guard,市场上被接受最广泛的PHP编码和模糊处理产品,保护你的应用程序不受未授权使用和逆向引擎的威胁。
预防逆向引擎和未授权的修改
保护你的代码不被非授权使用
Zend Optimizer和Zend Guard Loader----对Zend Guard免费的运行时解码。因为软件运营商用PHP写了很多商业应用程序,保护他们的智力财产(所有努力工作的结果)是非常重要的。对于很多软件提供评估版本下载,确定用户是发布安全是一个很复杂的任务,无论对于免费,评估,还是商业卖家来说。
Zend Guard(以前的Zend编码)通过编码和模糊处理来保护你的应用程序不被逆向工程和未授权定制。它通过提供组合授权支持来增强保护未授权使用和重新发布。这个组合功能消除了软件发布的担心。
市场上被接受最广的PHP编码和模糊处理。已有7年历史。
Zend专业开发团队使它是市场上最温稳定和鲁棒的编码
和Zend Studio流水线集成
仅有的提供PHP4,5面向对象编程保护的产品
通过编码和模糊处理预防逆向工程
你努力工作开发出代码。现在你需要保护他。Zend Guard的强大编码和模糊处理技术防止你的代码被逆向工程,安全侵犯和未授权修改。
编码是一个将PHP源码转换到机器可读的中间码的过程。这个格式很难被人阅读并转换回源代码。他的结果是保护你的代码随便被人读。它意味着如果有人获取的登录你服务器的密码。他们也不能把他们用作其他目的。
模糊处理是一个故意把逆向代码或者源代码变得非常难读的过程。模糊处理被设计来管理未授权访问源代码的风险。这个风险包括丢失智力财富,易于探测应哟南宁歌程序缺陷,经济损失(在应用程序被逆向工程,修改绕过授权机制,重新编译之后)。尽管计算机软件逆向工程一直存在,这一点仍然很重要对于像PHP这样的基于动态处理的(而不是在部署之前已经被编译为机器语言)脚本语言计算环境。
保护你的PHP代码不被未授权使用
Zend Guard授权功能允许基于软件供应商为他们的商业PHP程序创建各种各样的授权策略。产品支持绝大多数常规的授权使用模型,比如并发用户,时间限制,网段,或者服务器描述授权。这些功能允许供应商通过预防非授权使用来最大化他们的收入。
vendors:供应商
revenue:收入
encoding and obfuscation:编码和模糊处理
evaluation copies:评估版本
complicated:复杂的
总结:如果是转换成中间码,那么性能应该不会有损失,反而会提高。回头再补充吧,有待研究。
2.上面做到了代码本身安全,除此之外,还要解决参数安全
我目前的思路就是,将静态页面与服务器代码完全分离,php直接受相应提供应有的数据。
比如说打开index.html,这本身是一个静态页面,客户端浏览器在加载完成之后,用ajax和服务器代码通信区的数据,然后填充。
而服务器我用一个dispatch程序去处理这一切,dispatch通过服务号来分发服务,他实现了第一层参数检查,即服务号。
而他分发功能之后的程序,则复杂具体参数检查。
但是关于参数检查,还是挺复杂的,毕竟客户端传上来的什么都有,图片,字符串,xml或者json对象,这个问题还是得实验才有新的想法