IonCube 额外的安全层？

发布于 2024-12-08 04:11:24 字数 180 浏览 1 评论 0原文

我现在正在开发一个 php 项目（Internet Shop），该项目可能会处理本地客户信用卡信息的存储。所以我在考虑使用 IonCube 加密 php 文件，特别是那些包含设置（加密/解密密钥，IV）的文件对称加密算法。所以我不确定它是否会增加额外的安全层，因为它似乎是 IonCube 加密的文件和类似的解决方案可以解密。谢谢你！

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

不必你懂 2024-12-15 04:11:24

IonCube 在这里不是合适的解决方案。如果您对包含以下内容的文件进行编码：

<?php $SecretValue = "xyzzy"; ?>

恢复秘密值仍然很简单：

<?php require("encoded.secrets.php"); print $SecretValue; ?>

所以 IonCube 编码在这里基本上毫无价值。

IonCube is not a suitable solution here. If you encode a file which contains something along the lines of:

<?php $SecretValue = "xyzzy"; ?>

It's still trivial to recover the secret value:

<?php require("encoded.secrets.php"); print $SecretValue; ?>

So the IonCube encoding is basically worthless here.

回复收藏 0 原文

烟雨凡馨 2024-12-15 04:11:24

ionCube 和 Zend 非常适合代码保护，即使某些反编译服务从编码文件生成可用代码，这通常也不会减少编码和许可证执行的好处，甚至可能在较长时间内增加收入软件提供商的术语。

然而，数据隐藏则完全不同。请记住，PHP 和所有相关的库包装器以及库本身都是开源的，因此很容易修改。通过对 PHP 内部进行简单的更改，可以轻松公开发送到任何 PHP 函数和从任何 PHP 函数返回的数据。想查看MySQL的数据库密码吗？只需修改 mysql_connect() 包装器或底层 MySQL 库并记录详细信息即可。一些编码系统（例如 ionCube）可以加密非 PHP 文件，然后在运行时通过其运行时组件中的闭源例程进行解密，这在某些情况下可能比开源 PHP 例程（例如 mcrypt）提供一些好处。

duskwuff 引用的示例并不完全错误，例如在某些系统中，例如 ionCube，可以通过称为“包含攻击”的机制来保护文件不被非编码文件或由编码器的不同副本编码的文件包含保护”。尽管如此，将敏感数据存储在变量（尤其是全局变量）中是一种糟糕的方法，最好让具有误导性名称的函数返回此类数据，并且除非以特定方式调用，否则可能会执行不同的操作。例如，一个名为 mytime() 的函数会返回时间，除非使用“magic”值调用。

回复收藏 0 原文