2. 程式人生 > >使用screw plus來保護php程式碼安全

使用screw plus來保護php程式碼安全

阿新 發佈:2019-01-08

https://github.com/del-xiong/screw-plus

http://git.oschina.net/splot/php-screw-plus

screw plus是一個開源的php擴充套件,作用是對php檔案進行加密,網路上提供php加密的服務很多,但大多都只是混淆級別的加密,被人拿到加密檔案問只要有足夠耐心就能破解,與之不同的是,screw plus採用擴充套件來加解密,而且是全球金融業流行的高強度AES256加密,除非破解了伺服器,否則黑客拿到了加密檔案也只是一堆亂碼。

同一個加密級別的有ioncube和官方的zend guard,但這兩款都是收費的,一年至少數千元的費用並不值得普通開發者去嘗試,而使用screw plus,你不需要多花一分錢。

下面以LNMP一鍵安裝環境為例演示下screw plus的配置

首先克隆一份程式碼到伺服器

git clone https://git.oschina.net/splot/php-screw-plus.git

進入專案目錄,然後執行php的phpize檔案,phpize是官方提供的可執行檔案用於動態生成擴充套件開發環境,一般在php的bin目錄下可以找到。lnmp的phpize在/usr/local/php/bin/phpize

/usr/local/php/bin/phpize

Configuring for:

PHP Api Version:        20100412

Zend Module Api No:      20100525

Zend Extension Api No:  220100525

執行成功後可以看到當前的php api版本,擴充套件api版本等。下一步就可以開始配置了。配置命令為 ./configure --with-php-config=[php-config], [php-config]一般也在php的bin目錄下,寫絕對路徑就可以了。

./configure --with-php-config=/usr/local/php/bin/php-config

如果沒報錯,說明配置成功了,可以開始下一步編譯了。

編譯之前,我們可以修改加密的key,開啟php_screw_plus.h可以看到開頭就是 #define CAKEY "..." ,把裡面的值改為一個足夠複雜的key,最好16位以上,比如:9mqss6q7WsBpTMOZ

vi php_screw_plus.h

修改完畢之後,直接開始編譯,執行make命令,如果最後顯示Build complete.說明編譯成功,擴充套件在modules裡面,如果報錯請根據提示進行修復,然後make clean之後重新編譯。

make

...

Build complete.

上面我們編譯的是解密程式,而加密程式也需要我們手動編譯一下,進入tools目錄執行make命令即可。如果沒有報錯,則擴充套件就全部編譯完成了。

cd tools/

make

然後需要把擴充套件的路徑加入到php.ini中,你可以把modules/php_screw_plus.so複製到php擴充套件目錄也可以直接在ini中加入絕對路徑,我一般傾向於絕對路徑這樣修改編譯了擴充套件也不需要重新複製過去。

vi php/etc/php.ini

加入絕對路徑例如

extension=/home/php_screw_plus-1.0/modules/php_screw_plus.so

然後重啟php服務 這時可以放個php檔案輸出phpinfo資訊,如果看到以下提示說明擴充套件生效了。

下面還有最後一步,加密程式。

在擴充套件的tools目錄,執行./screw [路徑],[路徑]可以是單個檔案也可以是資料夾,然後就可以實現加密了。

加密完成後檢視原始碼,可以發現除了開頭的幾個英文字元外,其餘的都成了亂碼。

但是開啟網站,php執行正常,如同沒有加密一樣。經過測試,解密速度大約為100M每秒,對php自身的效能損失非常小,一般不到20毫秒。

screw plus還有個功能,可阻止執行未經許可的php檔案,這樣黑客就算上傳了程式碼也然並卵。

同樣在php_screw_plus.h裡修改,把STRICT_MODE後面的值改為1,然後make clean && make重新編譯並重啟php,然後開啟之前加過密的網站,執行正常,但是我們隨意上傳個明文的php檔案,結果是一片空白。

原因是未加密的php檔案頭部不包含識別key,擴充套件會返回空內容,就算黑客獲取了key並加入也沒用,內容會被解密成亂碼仍然無法執行。經過screw plus的保護,即使網站整站被下載或被上傳了惡意程式碼,也無法對網站造成損失。



作者:放開那頭熊
連結:https://www.jianshu.com/p/f6425e2f8643
來源:簡書
簡書著作權歸作者所有,任何形式的轉載都請聯絡作者獲得授權並註明出處。

相關推薦

使用screw plus保護php程式碼安全

https://github.com/del-xiong/screw-plus http://git.oschina.net/splot/php-screw-plus screw plus是一個開源的php擴充套件,作用是對php檔案進行加密,網路上提供php加密的服

關於HTML、js加密、混淆、原始碼保護程式碼安全,防止解壓直接看原始碼

關於HTML、js加密、混淆、原始碼保護、程式碼安全,防止解壓直接看原始碼 我們先理下需求,加密的目的是什麼?加密到什麼級別?為此我們可以犧牲什麼? 我們知道這個世界不存在絕對的安全,加密會被破解、混淆會被反混淆。 技術小白、開發者、黑客,是完全不同的級別,防範不同級別的人策略都不一樣。

PHP程式碼安全PHP弱口令、加密函式、繞過函式】/CTF程式碼審計題

注:結合現在所學,把以前的一些很散的部落格給彙總起來方便利用【刪了黑歷史,哈哈哈】 1、判等型別 1.1、”==”與”===”比較漏洞/switch 如果你認為“==”和"==="最大的區別在於,“==”是判斷數值是否相等,“===”則是判斷數值和型別是否相等,那就錯了,這

免費開源的php原始碼加密--screw plus

php原始碼的安全非常重要要。因此對原始碼的加密就變得非常重要。網路上很多的自定義加密演算法,99%都是不可行的,只要是不使用任何擴充套件就可以使用,一般是用的eval函式,截獲改函式的引數,就可以100%還原始碼。非常不可取。更有一些濫竽充數的加密解密函式。執行期間需要解密,解密後明文執

php程式碼風騷之道路 使用或語句進行判斷

@mysql_connect('localhost','root','123') or die("資料庫連線失敗") 或的值 是同假得假有一個真返回真 所以執行第一個語句為真的話 第二個語句就執行不

Mybatis-Plus學習一下!程式碼生成、分頁外掛?

在這裡小小推薦下我的個人部落格 簡書:雷園的簡書 今天我們來說一下Mybatis-Plus! 個人認為呢,Mybatis-Plus是Mybatis的增強版,他只是在Mybatis的基礎上增加了功能,且並未對原有功能進行任何的改動。可謂是非常良心的一款開源

用什麼保護我的運維安全

導言:安全生產無小事,運維責任重如山。想要守護住我們的運維安全,構建起網格化的蛛網防禦體系,實現關門打狗的防禦效果,請往下看~ 作者介紹 陳天樂 上海富虎系統網路有限公司 創始人 職業生涯中有超過20多年專業的網際網路公司運維、架構和安全工作經驗,在職業生涯中有近8年的時間是在大型跨國公司工作。是資

跟bWAPP學WEB安全(PHP程式碼)--OS命令注入

背景 這是溫故知新的一個系列,也是重新拾起WEB安全的一個系列,同時希望能稍微有點對初學者的幫助。第一篇先來講講OS命令注入 bWAPP裡面有兩個頁面也就是兩個漏洞,來驗證OS命令注入。一個是有回顯的,一個是沒有的,其實本質都是一樣,沒有回顯的,可以利用類似ceye平臺來驗證dns請求或者http請求,

跟bWAPP學WEB安全(PHP程式碼)--HTML注入和iFrame注入

背景 這裡講解HTML注入和iFrame注入,其他的本質都是HTML的改變。那麼有人會問,XSS與HTML注入有啥區別呢?其實本質上都是沒有區別的,改變前端程式碼,來攻擊客戶端,但是XSS可以理解為注入了富文字語言程式程式碼,而HTML注入只注入了超文字標記語言,不涉及富文字程式程式碼的問題。這裡的if

跟bWAPP學WEB安全(PHP程式碼)--郵件頭和LDAP注入

背景 由於時間限制和這倆漏洞也不是特別常用,在這裡就不搭建環境了,我們從注入原來和程式碼審計的角度來看看。 郵件頭注入 注入原理: 這個地方首先要說一下郵件的結構,分為信封(MAIL FROM、RCPT TO)、頭部(From,To,Subject、CC、BCC等)、主體(mess

跟bWAPP學WEB安全(PHP程式碼)--PHP程式碼注入

---恢復內容開始--- 背景 今天我們換一個方式來分析這個漏洞,從滲透的角度去搞。 滲透過程 測試漏洞 先來看看,觀察URL是:http://192.168.195.195/bWAPP/phpi.php message像是有連結,點選看看 在檢視url是http://192

跟bWAPP學WEB安全(PHP程式碼)--SSL(Server-Side-Include)漏洞

什麼是Server-Side-Include漏洞 服務端包含漏洞是指傳送指令到伺服器,伺服器會將指令執行完,把執行結果包含在返回檔案中傳送給你。利用這種漏洞可以獲取服務端的資訊甚至執行命令,這樣的指令是構造在HTML註釋中發過去的。當然,因為包含SSI指令的檔案要求特殊處理,所以必須為所有SSI檔案賦予

php中使用in_array易產生程式碼安全漏洞

<?php $arr = array('abc', '999'); $needle = 0; if (in_array($needle, $arr)) { echo 'ok'; } else { echo 'not in array'; } ?> 執行上面

用 Flask 寫個輕部落格 (24) — 使用 Flask-Login 保護應用安全

目錄 前文列表 擴充套件閱讀 使用者登入帳號 Web上的使用者登入功能應該是最基本的功能了,但這個功能可能並沒有你所想像的那麼簡單,這是一個關係到使用者安全的功能. 在現代這樣速度的計算速度下,用窮舉法破解賬戶的密碼會是一件

沃通程式碼簽名證書,保護程式碼安全、贏得使用者信任

軟體程式碼開發需要開發者投入大量精力和人力物力,但您的軟體程式碼釋出到網際網路上後可能會發生各種狀況,軟體程式碼可能受到黑客攻擊、

IIS7下php運行環境的搭建(巧妙利用phpmanger搭建php

msvc png 環境 php5.6 eight php .dll 新的 過程   最近在window server2008上開發php項目,web服務器就用了win上內置的IIS服務器來搭建,可是一路坑,搭了幾次都不成功。翻閱網上資料,原來IIS 上可以利用phpmang

新一輪超強電腦病毒襲 網絡安全概念股逆市走強

sha img 恢復 勒索病毒 center 問題 關註 博文 network 28日訊,網絡安全概念股逆市走強,北信源、任子行漲逾4%,藍盾股份、格爾軟件、美亞柏科等個股漲逾25。   據央視報道,新一輪超強電腦病毒正在包括俄羅斯、英國、烏克蘭等在內的歐洲多個國家迅速蔓延

PHP開發安全問題

最好 隱患 lob phrase nsf fopen 不包含 攻擊 自己的 php給了開發者極大的靈活性,但是這也為安全問題帶來了潛在的隱患,近期需要總結一下以往的問題,在這裏借翻譯一篇文章同時加上自己開發的一些感觸總結一下。 簡介 當開發一個互聯網服務的時候,必須時刻

使用微秒計算PHP腳本的執行時間

獲得 family 執行時間 精確 使用 代碼塊 函數 一個 代碼 有的時候,程序員需要獲得一段代碼的執行時間來查看這個代碼塊的執行效率是高還是低。普通的PHP函數只能精確到秒,PHP中提供了一個microtime()函數來精確到微秒 使用微秒來計算PHP腳本的執行時間

怎麽使用Mac緩存清理軟件保護用戶隱私

用戶隱私 是我 微信 wid 使用 hang 能夠 方式 ron 現在的生活中,我們會使用各種聊天工具QQ、微信是我們最常用的,如果我們沒有對這些聊天信息進行清理,這些文件會一直保留下來,很多時候為了保證自己的信息安全性,防止這些信息占用過多的空間我們會將這些信息進行清理,