Just nu i M3-nätverket
Jump to content

Skydd av PHP kod.


mindsleep

Recommended Posts

Hej

 

Jag gör ett litet jobb åt ett företag de vill köpa en PHP applikation av mig som listar kontakter och dyl.

 

Hela applikationen kommer att ligga på deras server (Apache/Linux).

 

Jag kommer att lägga alla filer utanför rooten och sedan köra med include från den publika rooten på webbservern. Detta för att skydda alla php filer.

 

Men nu hur brukar ni göra för att skydda era PHP applikationer. Det är ju väldigt enkelt att hämta ut källkoden.

 

Kunden kan ju bara ladda upp nya PHP filer på sin webbserver som har till uppgift att hämta ut PHP applikation.

 

Hur gör ni om ni släpper PHP applikationer som ni inte släpper under "öppen källkod"?

 

//MVH Mindsleep

 

***NEJ TILL MJUKVARUPATENT***

Använder du en dator? i sånna fall angår detta DIG!

Det är upp till dig! EU beslutar i höst.

Läs:

http://www.ffii.se

 

Link to comment
Share on other sites

Jag misstänkte att det var nåt sånt här du ville ha SERVER_NAME till i förra inlägget, läs förra tråden med några tankar till hur du hindrar serveradmin från att köra din kod på flera olika servrar. Detta går givetvis att bygga ut så att det blir ännu säkrare. (//eforum.idg.se/viewmsg.asp?EntriesId=619912#619956)

 

I övrigt är det någon typ av kompilator du är ute efter. Jag själv hade nog använt Zend encoder för detta ändamål, det finns billigare varianter om man nu vill ha det, men själv tror jag att utvecklarna bakom PHP motorn borde kunna det där med encoding bäst i PHP miljön, om inte annat för att få bra prestanda.

 

http://www.zend.com/store/products/zend-encoder.php

 

--

Some say I am crazy.. but the voices in my head disagree...

 

Stoppa mjukvarupatenten nu! http://www.ffii.se/

 

Link to comment
Share on other sites

Hur ser erat avtal ut?

 

Köper de en standardapplikation av dig?

 

Om du gör ett speciellt jobb åt en speciell kund borde de väl ha rätt att göra vad de vill med koden?

 

Link to comment
Share on other sites

Nä...SERVER_NAME var till ett annan applikation som jag skriver en som ska användas av flera domäner. Då vill jag inte att den ena domänen använder variabler som bara ska bara tillgänglig för den ena domänen.

 

Såg att andra hade kört med licenser och sedan lämnat källkoden uppe.

 

Det känns som ett bättre alternativ än att punga ut med tusentals kronor för Zend grejer.

 

Kanske finns det något annat alternativ?

 

Jag kanske kan förklara hur min konktakt PHP applikation fungerar...så kanske du eller någon annan kommer på något bra sätt så att källkoden får vara ifred.

 

Jag har satt upp ett webbkonto (hyrt av webbhotell) åt min kund.

 

Detta konto har 2 FTP konton. Det enda går till rooten (mitt konto) det andra till den publika mappen (kundens konto).

 

PHP applikationen ligger under "root/contact/" mappen.

 

Sedan under "root/public_html/admin/" ligger en index.php som ser ut så här (hela filen):

 

<?php

include_once($_SERVER["DOCUMENT_ROOT"]."\..\contact\contact.php");

?>

 

Den hämtar alltså upp contact.php från "root/contact/" mappen som bara jag har tillgång till. Då kan kunden köra applikationen och kunden kan inte se källkoden om denne loggar in på sitt FTP kontot. För han har bara tillgång till "public_html" mappen. Problemet är att om han stegar till "Admin" mappen så kan han ladda ner index.php och läsa den kod som finns ovan....och vips...nu vet han var PHP applikationen "contact" ligger.

 

Nu kan han då ladda upp en ny PHP fil eller annan dynamisk fil som då hämtar upp contact.php och skriver ut den på skärmen. Då kan han se all källkod. Jag vet faktiskt inte hur man skriver ut en PHP källkod från en annan PHP fil, men det finns det säkert en funktion för.

 

Någon som kommer på ett listigt sätt att förhindra kunden från att se källkoden?

 

//MVH Mindsleep

 

***NEJ TILL MJUKVARUPATENT***

Använder du en dator? i sånna fall angår detta DIG!

Det är upp till dig! EU beslutar i höst.

Läs:

http://www.ffii.se

 

Link to comment
Share on other sites

Hej,

 

Jag kan varmt använda Turck MMCache (google and you shall find it! kommer inte ihåg adressen)

 

Jag har själv använt det och är mycket nöjd, siten blev dessutom snabbare p.g.a. caching + förkompilerade script.

 

 

 

----

http://www.gemenskap.com - skapa en egen community

 

Link to comment
Share on other sites

Nu vet jag inte hur det riktigt ser ut med rättigheter på din server men du kan testa göra följande.

 

Låt oss säga att du har konto1 och kunden har konto2 och ni tillhör gruppen tex: users. Jag tror att detta endast fungerar om ni tillhör samma grupp.

 

Logga in med konto1 via ssh och skriv chmod -R 705 /sökväg till den katalog som du vill skydda

 

testa sedan att via ftp hämta filerna med konto2 och det ska inte gå för att det är nu konto1 som är ägare till filerna.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...