裸奔的PHP,可以穿上衣服么?搞PHP的都知道哈,python也是,代码部署到服务器不需要编译的,所以在服务器上就是裸跑,一旦某些人获取到服务器权限,获取到源码,就等于对他来源了。没门槛。虽然JAVA,C#编译过也能反编译,门槛还是提高了一些的。
最近公司新入客户,要求私有部署,我们的中台服务是PHP写的。部署到他那儿,我们就失去了控制,这不等同于对他开源么?这可不行。于是我提了个方案,加密源码。PHP加密的源码我以前见过,混淆加密后纯粹乱码,人看不懂,不知道解密规则,是很难解密的了的。不过呢,一些流行的加密库,如果三方有一定技术能力,他应该可以根据特征判断出来,然后够买三方解密服务,或者自己琢磨出解密算法,这个门槛相对就比较高了,如果我再用一个不知名的库,甚至自己琢磨加密原理,用自己一套算法进行加密。这样代码解密的几率就比较小了。
于是我决定这么搞。这段时间收尾的bug搞定后,就打算啃下这个PHP加密。
诸位搞过PHP的朋友,你们有过类似经验吗?
04月10日,星期六
1、源代码被添加后门之后,PHP的用户数据库可能已被入侵
2、海外厂商推出一体式水冷散热器:下压式设计,仅 63mm 高
3、TCL 华星 6.53 英寸 110% NTSC 手机屏亮相:搭载自研超高色域 LCD 显示技术
4、谷歌辟谣:Pixel 5a 将于今年晚些时候发布,在美国和日本上市
5、小米 米粉节路由器销量破 16 万台,净水器销量突破 3 万台
6、全天候血氧监测:华为手环 6 京东预售立减 20 元
7、苹果:Apple Developer App 开发者计划注册已向更多地区开放
8、美国参议员指责苹果 “突然”拒绝参加 App Store 反垄断听证会:不可接受
9、时隔 7 年,微软 Windows 版 OneDrive 终于发布 64 位版本
10、麒麟智能语音助手登陆麒麟软件商店:支持语音转文字、语音指令、OCR 识别等
11、任天堂 Switch 悄然添加了蓝牙音频驱动,但功能尚不可用
12、N 卡新驱动带来黑科技,教你大幅提升游戏性能
13、消息称苹果将大幅增加 iPhone 13/12 系列毫米波 5G 手机出货量
【项目名称】源码审计工具
【项目详情】
1 自动化源码扫描和审计工具
2 支持多种语言,包括C/C++、C#、VB、PHP、Java和PL/SQL等
3 漏洞规则可以灵活配置
4 能够检测XSS、SQL注入、文件泄露、本地/远程文件包含、远程命令执行以及更多种类型的漏洞
5 对扫描结果进行统计和出报告
可以没有代码,但是需要有二次开发和集成能力。
感谢头条,PHP外包第二个小单子到手,这是我从头条接的第二个单子!
上个月一个上海的哥们通过头条私信我,说他们有外包需求,然后互相加了好友,没有想到他上周突然打电话给我,说有项目要我做,需求如下:
一、他们公司是做Java的,PHP整不会,这个项目是PHP的。
二、项目已经运行几年了,现在要升级开发,第一阶段,需要把这个项目整体从现有服务器搬迁到新服务器。第二阶段,在用uni-app重做前端,并开发一批新的功能模块。
我拿到项目源码一看,部分核心文件是加密了的,这是第一个坑,需要分析他是用的什么加密方式,新的服务器上要安装相同的解密器才能正常跑起来。
然后因为已经运行了好几年,数据库比较大,有2.8G,这是第二个坑,这么大数据,怎么完美不掉链子的导入到新服务器数据库!
还有他这项目比较老了,用的是国内比较少见的CI框架,并不是现在流行的thinkPHP这类的,代码比较陌生,而且大部分都是全手工配置,需要分析他的逻辑,直接在代码内配置各种参数,这是第三个坑
最终,经过不懈努力,历时1.5天,才全部搞定!
#软件资讯#第2周
Firefox 默认支持 AVIF 图像解码,并计划本月更新到 dav1d 0.8.1
MiniFramework 2.6.0 发布,PHP 开源框架
FileZilla 3.52.0.5 发布,FTP 客户端
Linux Mint 20.1 "Ulyssa" 正式发布
微软计划重新设计 Win10,告诉客户 Windows is BACK
HHVM 4.91 发布,PHP 虚拟机
终审裁定,链家程序员删库被判 7 年
PeaZip 7.7.0 发布,压缩管理工具
Jenkins 2.274 发布,可扩展的持续集成引擎
easy-short-url v2.0.2 发布,短网址 PHP 工具库
Java RPC 框架 Solon 发布 1.2.18,突出 RPC 特性
jspBB-1.0.0.beta 发布,仿 StackOverflow、知乎
IntelliJ IDEA 母公司 JetBrains 被调查
Payment Spring Boot 1.0.3 发布,微信支付 V3 的 Java 实现
因 Git 服务器配置错误,日产汽车源码泄露
OpenZFS 2.0.1 发布,支持 Linux 5.10
Linux 5.10.5 发布,5.10 内核系列的所有用户都必须升级
CakePHP 4.2.2 发布,PHP 快速开发框架
formDesigner v1.8.3-beta 发布,基于 Vue+ElementUI 的表单设计器
微软 开源回顾:止不住的挨骂,停不下的贡献
可移植苹果 M1 的 Asahi Linux 项目正式启动
红旗 Linux 桌面系统发布 v11 预览版,今日开放下载
Objeck v5.6.1 发布,面向对象程序设计语言
Qt 5.15 转入商业化 LTS 阶段,导致外部贡献者弃坑
Mozilla 正在修改 Firefox UI,计划5月份公布新设计
谷歌员工成立工会:关注 AI 等技术使用,确保合理工资
SM3-PHP v1.1.3 已经发布,国密标准 SM3 的原生 PHP 实现
PHPSciter 1.0.1 发布,修复部分问题
JetBrains 发布代码质量检测工具 Qodana 早期预览版
PHPKafka 1.1.0 发布,支持 PHP 8.0,增强功能
PHPmicro 自执行 SAPI 0.0.1-prealpha 版发布
Linus 新年第一怼:英特尔正在扼杀整个 ECC 产业
程序员笔记 CherryTree 0.99.28 发布
开源多云技术平台 —— Choerodon 猪齿鱼发布 0.24 版本
官方PHP Git项目代码库被不法分子植入恶意软件:
上个星期天,PHP编程语言开发人员和维护人员尼基塔·波波夫(Nikita Popov)表示,他们发现两个恶意提交被以他和PHP开发者拉斯穆斯·勒道夫(Rasmus Lerdorf)的名义提交到PHP -src存储库中。
代码似乎被设计为植入一个后门,并创建一个可能实现远程代码执行(RCE)的场景,Popov说,开发团队并不确定攻击是如何发生的,但有线索表明,可能是官方Git .服务器受到了攻击,而不是单个Git账户。
对这起安全事件的调查正在进行中,该团队正在搜索仓库,寻找任何其他恶意活动的迹象。然而,与此同时,开发团队已经决定,现在是永久迁移到GitHub的正确时机。
波波夫说:“我们已经决定,维护我们自己的git基础设施是一个不必要的安全风险,我们将停止服务器。”相反,GitHub上的存储库,以前只是镜像,将成为规范。这意味着更改应该直接推送到GitHub而不是。”
安全事件可能表现为对供应链攻击,或者将威胁的目标对准一个开放源码项目、库或另一个大型用户群所依赖的组件,通过破坏一个核心目标,恶意代码可能会渗透到大量的系统中。
我怀疑阿里云的php composer 镜像封杀了腾讯的关键字,每次下载 tencent-cloud-sdk这个包的时候就出错,搞的要到github拉源码,这算不正当竞争吗?
