fbpx

用 PHP Screw 保護你的程式碼

php5.4-300x300PHP 是一個直譯的程式語言,大家都喜歡 PHP 改後立即執行的優點,但明文未加密的程式碼也有一些壞處,比如寫在 Code 裡的密鑰與密碼等等,全部就被看光光了。

很多 PHP 打造的商業產品,最後佈署部到客戶機器上時,免不了需要將程式碼進行加密。目前商業的加密軟體有 Zend Guard (美年 600$) 與 PHP Encoder (199$),Zend Guard 以前有用過,算是很穩定的產品,如果程式好好寫,極少發生加密後執行結果不如預期的情況。Zend Guard 原理我猜測是編譯為 opcode,然後進行加密,執行時透過 PHP Extension 進行動態解密,由於解密完已經是可以執行的 PHP opcode,因此有官方宣稱的加速效果。PHP Encoder 我就沒有用過,也無從推論。

今天要介紹 PHP-Screw 這個很簡單的加密機制,做法與一樣是必須編譯出擁有專屬解密功能的 Extension,然後加密過的 PHP 檔案就可以透過 PHP Extension 進行解密與執行。看了 Source Code 其實實現的方法很簡單,就是透過 zencode/zdecode 進行編碼與解碼,編碼後的資料會在前方加入「PM9SCREW」字串,用來判斷 PHP 檔案是否需要解碼。

PHP Screw 安裝

直接從 GitHub Clone 一份最新的 PHP Screw Source Code,如下:

git clone https://github.com/Luavis/php-screw

第一個動作就是要修改密碼檔 (my_screw.h),之後我們會根據這個密碼檔編譯出專屬的 PHP Extension .so 檔,所以想要拿自己編譯的 Extension 去執行不同密碼加密的 PHP 是不會成功的!

cd php-screw

vim my_screw.h

編輯檔案中 pm9screw_mycryptkey 這個陣列,可以更改數字或加減元素,檔案內容如下:

short pm9screw_mycryptkey[] = {
  11152, 368, 192, 1281, 62
};

修改後存檔,編譯之前記得安裝 php5-dev, php-config, gcc 套件,接著執行以下命令:

phpize

./configure --with-php-config=`which php-config`

make

執行畫面如下:

make-php-screw

編譯好的 so 檔會放在 module 目錄下,把它掛到 php.ini 即可。

接著我們還需要編譯專屬的加密程式,切換到 tools 目錄下直接 make 即可:

cd tools

make

編譯好後會產生 screw 執行檔,透過這個執行檔可以直接加密 PHP 程式,加密後原本的明文會多了 .screw 副檔名,如下:

php-screw-test

此外一提,之前在 APC 上就有網友討論如何進行編譯與執行分離的方式,有興趣的朋友可以參考鳥哥的文章與「使用APC来保护PHP代码」這篇文章。但是 APC 後來的對於 PHP 新版本的支援度不足,像是 PHP 5.6 就不會運作,大大們都建議改用 Opcache。其實在 PHP 7 所使用的 Opcache 中,可以在 Source Code 看到 opcache.file_cache 這樣的暗黑(Document 無記載)參數,可惜在 PHP 5.6 的 Opcache 版本中沒有這個 file_cache 功能。利用 file_cache 確實可以實現 Opcode 編譯與執行分離,大陸很多文章都有討論到作法。

如果真的要在 PHP 5.6 自行實現 Opcode 編譯與執行分離,要把 PHP 7 Opcache File Cache Feature 移到 PHP 5.6 是有難度的,畢竟底層的 Zend API 更動了很多,只好殘念收場,免費的先用 PHP Screw 擋一下,防君子不防小人.......下次再見!

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料