PHP源码加密——效果与缺点

Question

我有一些 PHP 源代码，由托管公司 XYZ 托管。我正在使用 Zend Guard 或 ionCube 等 PHP 加密软件来保护源代码不被任何人(系统管理员或入侵系统管理员的黑客)查看。

• 对于拥有系统完全访问权限的人(例如系统管理员或破解系统管理员的黑客)解密源代码有多容易/困难？我不知道加密软件是如何工作的，但我假设他们使用了一些 key ，这些 key 必须保留在服务器上，因此系统管理员或黑客可以访问。如果您在技术上了解操作方法，请毫不犹豫地在您的回答中提供解释。

• 使用此类源加密会降低网站速度吗？如果有人有第一手经验或从有第一手经验的人那里知道 ;)

我对这方面的技术方面很感兴趣，加密的有效性如何......以及它的缺点，来自那些使用它们或考虑使用它们的人

谢谢(所有有用的答案/评论都已投票)

编辑:到目前为止的答案似乎忽略了我想要了解的内容。我正在尝试了解加密的有效性。我真的没有任何需要保护免受坏人攻击的代码，上面只是一个例子，所以像开源它或聘请律师这样的建议并不能真正解决我的技术好奇心..A+ 给任何明白这一点的人

Answer 1

加密(或编码器)方案试图将您的代码隐藏为加密文件。显然，代码必须在执行时解密，这增加了无用的开销。其中一些还坚持要求主机系统安装特殊的例程，主机商非常不喜欢，因为他们不想只为您设置特殊的配置。但不好的是，它们包含了自己毁灭的种子:要在目标主机上运行，​​它们必须包含解密软件。因此，如果您使用一个，您就提供了获取代码所需的解密器。这只是找到它的问题；一旦找到，您的代码就可以完全解密并公开。这些根本不安全。

混淆 方案会打乱标识符的名称，删除注释和格式。但是混淆后的代码运行起来与原始代码完全一样，没有开销，也不需要特殊的运行时支持。混淆器通常依赖于理解程序的固有困难。当程序设计得当、名称选择得当并且代码中有很好的注释时，程序就很难理解。我们都希望我们的程序设计得很好，但是如果名字不好，注释也没有了，它们就很难理解。检查您自己对他人代码的体验。

人们会说，“但任何人都可以检查混淆代码并理解它”。如果您的应用程序很小，那是真的。如果您的应用程序具有任何规模(数十页代码)，那么当所有变量名称都被打乱时，很难理解它在做什么。您的代码越大，保护它的混淆就越好。

如果您想查看一个 PHP 混淆器的示例，请参阅我们的 Thicket PHP Obfuscator .