Охрана PHP скриптов: практические приёмы

Раздел: Веб-разработка -> Безопасность

Защита исходного кода PHP важна для разработчиков коммерческого программного обеспечения. Код, размещённый на сервере, доступен для просмотра администраторам и злоумышленникам. Существуют различные методы, позволяющие скрыть логику работы приложения от неавторизованного доступа. Ниже рассматриваются основные подходы, их цели и ограничения.

Сравнение подходов к защите PHP кода

Использование коммерческих кодировщиков (ionCube, SourceGuardian)

Как обеспечить максимальную защиту кода от декомпиляции и просмотра?

Наиболее эффективным решением является применение специализированных инструментов, например, ionCube Encoder или SourceGuardian. Они преобразуют исходный код в бинарный промежуточный формат, который может быть выполнен только при наличии соответствующего расширения на сервере. Расшифровка без лицензионного ключа невозможна.

Цели использования: защита коммерческих приложений, продажа лицензий, сокрытие алгоритмов.

Пример установки и кодирования с помощью ionCube:

# Установка ionCube Loader на сервер (пример для PHP 7.4)
wget https://downloads.ioncube.com/loader_downloads/ioncube_loaders_lin_x86-64.tar.gz
tar xzf ioncube_loaders_lin_x86-64.tar.gz
sudo cp ioncube/ioncube_loader_lin_7.4.so /usr/lib/php/20190902/
echo "zend_extension = /usr/lib/php/20190902/ioncube_loader_lin_7.4.so" | sudo tee /etc/php/7.4/cli/conf.d/00-ioncube.ini
# Кодирование файла
ioncube_encoder.sh --php-version 7.4 -o encoded.php source.php

Php пароль mysql (пароль для mysql в php)

После кодирования исходный код превращается в зашифрованное содержимое, которое невозможно прочитать текстовым редактором.

Проблемы и ошибки:

  • Требуется установка ionCube Loader на сервер. Если расширение отсутствует, скрипт выдаёт ошибку.
  • Несовместимость с некоторыми версиями PHP или хостингами без ionCube.
  • Лицензионные ограничения: истекает время пробной версии, требуется покупка.

Обфускация кода с помощью библиотек

Как скрыть логику работы кода от посторонних без коммерческих инструментов?

Обфускация заключается в изменении имён переменных, функций, классов, удалении комментариев и переформатировании кода так, чтобы он оставался рабочим, но был трудночитаем. Для этого существуют библиотеки, например, php-obfuscator (https://github.com/pH-7/php-code-obfuscator).

Пример обфускации:

// Исходный код
function calculatePrice($items) {
    $total = 0;
    foreach ($items as $item) {
        $total += $item['price'] * $item['quantity'];
    }
    return $total;
}

// После обфускации (вывод может отличаться)
function a($b){$c=0;foreach($b as $d){$c+=$d['price']*$d['quantity'];}return $c;}

Api auth php (аутентификация api на php)

Обфускация не даёт криптографической защиты. Код может быть восстановлен с помощью автоматических деобфускаторов.

Проблемы и ошибки:

  • Увеличение времени выполнения из-за переименования функций (незначительно).
  • Некоторые методы обфускации (например, использование eval) могут нарушить работу кода.
  • Легко обходится деобфускаторами.

Кодирование в Base64 с помощью eval

Как быстро замаскировать код без внешних инструментов?

Можно закодировать код в строку Base64 и выполнить через eval после декодирования.

$encoded = base64_encode('<?php echo "Hello World"; ?>');
eval(base64_decode($encoded));

Protect php code (защита php кода)

Этот метод крайне небезопасен: eval выполняет произвольный код, а Base64 легко декодируется. Используется только для самых примитивных задач скрытия.

Проблемы и ошибки:

  • eval является потенциальной уязвимостью, если в строку попадут недоверенные данные.
  • Код полностью читается после декодирования.
  • Отсутствие защиты от изменений, так как закодированная строка может быть заменена.

Использование акселераторов (OPcache) для сокрытия исходного кода

Можно ли защитить код без изменения файлов?

OPcache сохраняет скомпилированный байт-код в общей памяти, но исходные файлы по-прежнему доступны для чтения. Удаление исходников (оставив только opcache) невозможно, так как PHP требует наличия файлов для повторной компиляции после очистки кэша.

Цель: ускорение работы, а не защита. Реальной безопасности не даёт.

Проблемы и ошибки:

  • При сбросе OPcache (например, при перезагрузке сервера или изменении файлов) исходники становятся обязательными.
  • Код остаётся читаемым в файловой системе.

Лицензионные проверки с шифрованием части кода

Как предотвратить работу кода на неавторизованном сервере?

Комбинируется кодирование ключевых фрагментов кода (например, с помощью openssl) и проверка домена или IP на удалённом сервере лицензирования. Код не защищён от чтения, но его выполнение на нелицензированном сервере блокируется.

$license = @file_get_contents('https://license.example.com/check?domain=' . $_SERVER['HTTP_HOST']);
if ($license !== 'valid') {
    exit('Лицензия недействительна');
}

Mysqli escape string php (экранирование строк в mysqli в php)

Этот подход не скрывает алгоритмы, но контролирует использование.

Проблемы и ошибки:

  • Зависимость от внешнего сервера: если он недоступен, ваш код перестанет работать.
  • Простая подмена проверки через изменение кода (если он не закодирован).
  • Не защищает от кражи самого кода.

Использование расширений PHP для шифрования файлов (php-beast)

Как защитить файлы с помощью расширения самого PHP?

PHP-расширения, такие как php-beast, позволяют шифровать файлы с паролем. Расширение автоматически расшифровывает их при выполнении. Устанавливается на уровне сервера.

Установка и шифрование:

# Установка php-beast
git clone https://github.com/liexusong/php-beast.git
cd php-beast
phpize
./configure --with-php-config=/usr/bin/php-config
make && sudo make install
echo "extension=beast.so" > /etc/php/7.4/cli/conf.d/beast.ini
# Шифрование файла
php beast_encode.php -f source.php -p yourpassword

Зашифрованный файл может быть выполнен только при наличии правильного пароля и установленного расширения.

Проблемы и ошибки:

  • Пароль хранится в конфигурации сервера или в коде, что может быть скомпрометировано.
  • Расширение не так широко поддерживается, как ionCube.
  • При потере пароля восстановить код невозможно.
- Domain block php (блокировка домена в php)
- Php action login (вход (login) через php)
- Pass php (хэширование паролей в php)

Дополнительные расширенные примеры по каждому методу.

Пример 1: Обфускация с помощью php-obfuscator (библиотека)

Исходный код: простой класс для работы с пользователями.

Пример 
<?
class User {
    private $name;
    private $email;
    public function __construct($name, $email) {
        $this->name = $name;
        $this->email = $email;
    }
    public function getInfo() {
        return "Name: {$this->name}, Email: {$this->email}";
    }
}

$user = new User('John', 'john@example.com');
echo $user->getInfo();
?>

После обфускации с помощью php-obfuscator (установка: composer require ph-7/php-code-obfuscator):

Пример 
<?
class A{private $B;private $C;public function __construct($D,$E){$this->B=$D;$this->C=$E;}public function getInfo(){return "Name: {$this->B}, Email: {$this->C}";}}
$F=new A('John','john@example.com');echo $F->getInfo();
?>
Вывод: Name: John, Email: john@example.com

Код выполняет ту же функцию, но чтение исходной логики затруднено. Однако все имена могут быть восстановлены с помощью профайлера.

Пример 2: Кодирование кода в Base64 с eval и строковым ключом

Распространённый способ скрыть вызов функции.

Пример 
// Исходный код, который нужно скрыть
function showSecret() {
    echo 'Секретный текст';
}

// Кодирование
$code = base64_encode('showSecret();');
eval(base64_decode($code));
?>
Вывод: Секретный текст

Если злоумышленник увидит строку Base64, он легко её раскодирует: echo base64_decode('...');. Дополнительно можно применить XOR-шифрование, но это всё равно слабая защита.

Пример 3: Проверка лицензии с удаленным сервером и локальным ключом

Вариант с запросом к серверу лицензий и проверкой контрольной суммы файла.

Пример 
<?
$domain = $_SERVER['HTTP_HOST'];
$licenseKey = 'XXXXXXXX-YYYY-ZZZZ'; // Ваш ключ
$response = file_get_contents("https://api.license.com/verify?domain={$domain}&key={$licenseKey}");
$data = json_decode($response, true);
if (!$data || $data['status'] !== 'active') {
    exit('Доступ запрещен: лицензия недействительна');
}
// Проверка целостности кода (например, хеша)
$hash = md5_file(__FILE__);
$expectedHash = 'abc123...'; // задаётся при поставке
if ($hash !== $expectedHash) {
    exit('Файл был изменен');
}
// Далее основной код
?>
Вывод: При успешной проверке выполняется код, иначе сообщение об ошибке.

Недостатки: код проверки сам может быть изменён, если не зашифрован. Рекомендуется комбинировать с ionCube.

Пример 4: Шифрование с помощью php-beast (результат работы)

Создаём простой файл secret.php:

Пример 
<?
echo 'Этот код защищен php-beast';
?>

Шифруем:

Пример 
php beast_encode.php -f secret.php -p mypassword

После шифрования файл secret.php изменяется, и его содержимое становится бинарным:

Пример 
... (нечитаемые символы)

При выполнении с установленным beast.so и правильным паролем (пароль задаётся в конфигурации или передаётся через константу) выводится:

Этот код защищен php-beast

Если пароль неверный, расширение выдаст ошибку.

Пример 5: ionCube закодированный файл (внешний вид)

Исходный файл simple.php:

Пример 
<?
function hello() {
    return 'Hello, ionCube!';
}
echo hello();
?>

После кодирования:

Пример 
<? // ionCube Encoder 13.0.0
?>
... (длинный двоичный блок)
?>

Вывод после выполнения: Hello, ionCube! (только при установленном ionCube Loader)

Текстовые редакторы не показывают исходный код, только сигнатуру и бинарные данные.

Защита PHP кода - comments

En
Protect php code (php)