[שאלה-PHP]אבטחת קוד

[Kfir.G]

שלום,
היה לי רעיון לאבטח קוד PHP ורציתי לשתף אותו וגם לשאול אם הוא בר ביצוע ויעיל. הרעיון הוא שבמקום לתת ללקוח את הקוד יוצרים את הבסיס הנחוץ על השרת ובמה שמכינים ללקוח משתמשים בinclude ומוסיפים שינויים והתאמות (אם צריך). עכשיו בקובץ שעושים עליו include יש בדיקה בעזרת המסד האם הIP שמנסה לגשת לקובץ הוא השרת של הלקוח (כמובן שצריך להכניס את הIP של השרתים של כל הלקוחות). אם הIP מתאים הוא מאפשר גישה ומציג את הקוד אם לא הוא שומר את כתובת הIP במסד לצורך בירורים,פעולות משפטיות וכד'.
עכשיו אחרי שהסברתי את הרעיון הנה השאלות:
1 - האם יש אפשרות לעשות את הבדיקה בקובץ PHP אחד שבו גם נשמר הקוד כאשר אם המשתמש ניגש לקובץ הוא לא יראה דבר פרט לקוד הHTML?
2 - האם יש דרך לעקוף את הבדיקה הזאת? (אם כן היא לא יעילה במיוחד)
3 - האם יש דרך להכניס את הIP של השרת בצורה אוטומטית למסד או שחובה לעשות זאת בצורה ידנית?
וזה הכל אני אשמח לשמוע תשובות לשאלות וגם ביקורות\הצעות לשיפור על הרעיון. אז בהצלחה לכולנו עם אבטחת הקוד שלנו

[Tomer]

ניסיתי את זה פעם, זה לא אפשרי. אתה לא תוכל לשמור cookies, אתה לא תוכל לעשות die ואתה הרי בסוף מקבל סה"כ פלט HTML. include לא יחזיר לך PHP.

[Kfir.G]

ציטוט:

נכתב במקור על ידי Tomer

ניסיתי את זה פעם, זה לא אפשרי. אתה לא תוכל לשמור cookies, אתה לא תוכל לעשות die ואתה הרי בסוף מקבל סה"כ פלט HTML. include לא יחזיר לך PHP.

אפשר להוסיף את יצירת הcookies שימוש בdie וכד' בinclude אחר שלא חסום אחרי הכל זה בד"כ חלק קטן בלבד מהקוד

[daMn]

אם תעשה include לשרת רחוק, הדבר היחיד שהוא יציג/ישתמש זה html, ככה שכבר הרעיון לא טוב *_*

[daMn]

תן לי לתקן את עצמי,
קראתי עכשיו מאמר על לקיחת מידע של שרת למשרת מרוחק וכנראה שיש אפשרות כזאת,
אבל מה החיסרון ? צריך לשנות בהגדרות של הphp.ini את allow_url_fopen , ובעלי שרתים לא יעשו את זה.
ואז אני חושב שאפשר לקחת מידע מתוך קובץ php, עוד חיסרון...כל אחד יוכל לקחת...

[Daniel]

חוץ מזה, שגם אם תאפשר את קריאת ה-PHP והכל, אם עושים,

PHP קוד:

echo file_get_contents("URL"); 


זה יציג את הקוד.

[Kfir.G]

ציטוט:

נכתב במקור על ידי MasterT

חוץ מזה, שגם אם תאפשר את קריאת ה-PHP והכל, אם עושים,

PHP קוד:

echo file_get_contents("URL"); 


זה יציג את הקוד.

אי אפשר לבדוק בקובץ עם הקריאה נעשתה דרך include ואם לא לחסום? (כדי לחסום גם את הפונקציה הנ"ל)

[Daniel]

ציטוט:

נכתב במקור על ידי kfir_dnd

אי אפשר לבדוק בקובץ עם הקריאה נעשתה דרך include ואם לא לחסום? (כדי לחסום גם את הפונקציה הנ"ל)

תמיד תיהיה דרך לפרוץ את זה, תמיד.
ואיני יודע, יכול להיות שיש,
אבל אפשר לרמות כל דבר.
אפשר לבקש מבעל השרת,
אפשר לעשות בדרכים אחרות,
ותחשוב על זה שזה גם יאט את הטעינה.
אם הטעינה של הדף של הלקוח היא n זמן,
עכשיו זה יהיה n2.
כי זה צריך לטעון את השרת של הלקוח, והשרת של הלקוח צריך לטעון את השרת שלך.

[Kfir.G]

ציטוט:

נכתב במקור על ידי MasterT

תמיד תיהיה דרך לפרוץ את זה, תמיד.
ואיני יודע, יכול להיות שיש,
אבל אפשר לרמות כל דבר.
אפשר לבקש מבעל השרת,
אפשר לעשות בדרכים אחרות,
ותחשוב על זה שזה גם יאט את הטעינה.
אם הטעינה של הדף של הלקוח היא n זמן,
עכשיו זה יהיה n2.
כי זה צריך לטעון את השרת של הלקוח, והשרת של הלקוח צריך לטעון את השרת שלך.

אני מסכים איתך שתמיד יש דרך לפרוץ ולעקוף את האבטחה אבל המטרה שלנו היא להקשות כמה שיותר על מי שמנסה לפרוץ.
בקשר לזמן הטעינה יתכן מאוד שאתה צודק אבל כשתחשוב על זה שעמודי PHP בד"כ נטענים בפחות משניה זה לא הפרש כל כך קריטי

[בניה]

זה אפשרי, לקוד שאתה מקבל מהשרת שמכיל את הקודים אתה עושה eval().
וכדי לקבל את הקוד אתה יכול להשתמש ב file_get_contents.
הבעיה שאפשר פשוט לקחת את הקוד ולעשות לו echo ואותו להכניס במקום הקוד שמקבל את הקוד מהשרת שמכיל את הקודים.