скрыть код в php
Сокрытие PHP
В общем случае внесение неясности ненамного улучшает защищённость системы. Но бывают случаи, когда следует использовать малейшую возможность.
Пример #1 Маскировка PHP под другие языки программирования
Пример #2 Использование неизвестных расширений для PHP-скриптов
Пример #3 Маскировка PHP-файлов под HTML
User Contributed Notes 25 notes
So far I haven’t seen a working rewriter of /foo/bar into /foo/bar.php, so I created my own. It does work in top-level directory AND subdirectories and it doesn’t need hardcoding the RewriteBase.
# Rewrite /foo/bar to /foo/bar.php
RewriteRule ^([^.?]+)$ %
The session name defaults to PHPSESSID. This is used as the name of the session cookie that is sent to the user’s web browser / client. (Example: PHPSESSID=kqjqper294faui343o98ts8k77).
Keep in mind, if your really freaked out over hiding PHP, GD will expose you.
It’s a good idea to «hide» PHP anyway so you can write a RESTful web application.
Using Apache Mod Rewrite:
RewriteEngine On
RewriteRule ^control/([^/]+)/(.*)$ sitecontroller.php?control=$1&query=$2
function myGET () <
$aGet = array();
You can see if somebody’s using PHP just by adding the following to the end of the URL:
?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000
If the page is using PHP, this will show the PHP credits.
Setting expose_php to Off in php.ini prevents this.
I think the best way to hide PHP on Apache and Apache itself is this:
Now hacker knows only that you are using Apache.
To hide PHP, you need following php.ini settings
ServerSignature Off
(min works, but I prefer off)
would still be processed by the home script in our doc root, but for:
apache would actually look for the /home/contact_us.html file in our doc root.
The best solution I’ve found is to set up a virtual host (which I do for everything, even the default doc root) and override the trailing characters handling within the virtual host. So, for a virtual host listening on port 8080, the apache directives would look like this:
DocumentRoot /web/doc_root
Alias /home «/web/doc_root/home.php»
AcceptPathInfo On
Some people might question why we are overriding the trailing characters handling (with the AcceptPathInfo directive) instead of just turning safe-mode=off. The reason is that safe mode sets global limitations on the entire server, which can then be turned on or left off for each specific virtual host. This is the equivilent of blocking all connections on a firewall, and then opening up only the ones you want, which is a lot safer than leaving everything open globally, and assuming your programmers will never overlook a possible security hole.
Как закомментировать на время код HTML, CSS или PHP, JS
…сегодня мы в этой коротенькой, но полезной статье, разберемся, как же комментируется различный программный код. Много говорить не стану, ибо если вас подобное заинтересовало, то вы уже столкнулись с вопросами этой задачи, и представление о ней имеете.
(в финале статьи подробное видео о правилах и способах комментирования кодов)
Но обратите внимание, что комментарии используются также и в html и php… А ведь большинство начинающих путаются на начальном этапе своей работе с сайтом и не знают, как дописать себе необходимые пояснения. Ведь бывает же так, например, вам потребуется на какое-то время деактивировать код html, а потом снова возобновить его функцию — это запросто реализовать, если вы сделали себе пометки на «полях», да мало ли что.
Но что следует помнить о «комментариях» вообще — тут всё в строгой зависимости от того, с каким файлом вы работаете конкретно, а следовательно и код применения различен.
ошибки в комментариях к коду — по версиям php
php 8
время от времени языки программирования меняются (их версии), а следовательно относитесь внимательнее к тому, что и как комментируете!
Как известно, не так давно вышла версия php 8 — некоторые пользователи столкнулись с проблемами!
В данной статье коснемся, скажем так, синтаксиса — правописания))…
Например, если комментируете в самом финале кода, то обязательно соответственно закрывайте комментарий! иначе, в новейших версиях php (подобные правила касаются многих ЯПов) бесконечно закомментированный блок вызовет ошибки! Белый экран.
…далее: никогда не ЛЕПИТЕ друг к дружке символы комментариев к тегам кода. неряшество в коде, как и в жизни, вызывает неприличные ошибки.
На мой взгляд, лучше потратить несколько лишних минут времени, но написать чистенький и аккуратный код и комментарии. Это в будущем сэкономит массу времени!
Прячем, обфусцируем и криптуем клиентскую часть веб-приложений
Обфусцированный скрипт
Теория
Работа JJEncode
Базовое шифрование HTML/CSS
Что делать, если нам нужно зашифровать HTML или CSS код? Все просто: зашифровать на JavaScript, а после расшифровки вставить как HTML код.
Пример вставки (без шифровки/крипта/обфускации):
Точно так же мы поступим и с CSS-стилями:
Теперь постараемся абстрагироваться от HTML и CSS и поговорить только о самой сути — сначала скрытии, а затем и криптовке JavaScript.
Прежде, чем кто-либо захочет посмотреть и расшифровать наш код, он постарается его найти. Ниже ты найдешь несколько действенных методов сокрытия кода от глаз любопытных пользователей.
Прячем слово «][akep» в теле документа
Замена атрибутов тега
А теперь просто создадим папку «text», в которую положим наш скрипт («script.js») под именем «javascript» и поменяем атрибуты местами. Это будет выглядеть так:
Для лучшего эффекта сразу отвлечем внимание пользователя на путь. Например, так:
Проверено на личном опыте: работает отлично! Таким способом я сам накручивал партнерку по кликам, так как пришлось использовать накрутчик на JavaScript. Администрация партнерки его так и не увидела :).
JavaScript-обработчики
Данный способ также не является универсальным средством для сокрытия JS-кода, но все же я расскажу о нем. Главная идея состоит в том, чтобы прятать код внутрь обработчиков событий onLoad, onClick и т.д. То есть примерно в следующие конструкции:
Например, для тегов body и frameset есть обработчик onLoad, который запустит в нем прописанный код после загрузки страницы/фрейма.
Отмечу, что не для всех объектов обработчики одинаковы.
Cookie, Referrer и адрес
JavaScript можно также спрятать и в такие нестандартные места, как cookie (document.cookie), реферрер (document.referrer) и адрес страницы (location.href). В данном случае код будет храниться как обычный текст, а выполняться с помощью функции eval(), которая берет в качестве аргумента текст и выполняет его как JavaScript-код.
В качестве примера примем такое допущение, что у нас уже установлены кукисы следующего вида:
Теперь выполним этот алерт следующим образом:
Здесь мы берем текст всех cookie-записей для нашего хоста и делим его на части в местах, где стоит «||». Затем берем второй элемент ([1]) и запускаем его через eval().
Данный способ не так уж и плох, так как код, который мы хотим исполнить, не виден на самой странице, а также потому, что мы можем заставить код удалить самого себя! Пример реализации:
Аналогичным образом можно использовать и другие строки, доступные через JavaScript, например, location.href и document.referrer.
Сокрытие кода на Ajax
Нуллбайт атакует Оперу
Этот метод прост и достаточно эффективен, но, к сожалению, он рассчитан только на браузер Opera. Суть метода в том, чтобы перед скрываемым кодом поставить так называемый нуллбайт (нуллбайт или nullbyte — это символ с ASCII кодом «0»). Зачем? Затем, что Opera просто-напросто не показывает код во встроенном просмотрщике после данного символа. Пример:
В данном примере сначала идет нормальный код, который нам скрывать не требуется. Потом с помощью PHP мы вставляем нуллбайт, а после него идет скрываемый код.
Прячемся в HTML-коде и комментариях
Код можно легко спрятать в HTML, затем обработать его и выполнить. Например, вот так:
В данном случае мы спрятали код в атрибутах тега img, после чего обработали код всей страницы, собирая разбросанные кусочки. Таким же способом можно скрывать текст в HTML/JavaScript комментариях:
Отдельно стоит отметить, что очень эффективно можно прятать код внутри популярных фреймворков — например, jQuery, mooTools и подобных. Эти файлы не являются подозрительными, а исследование их займет много времени (хотя всегда существует возможность автоматического сравнения оригинала и измененного файла).
Теперь же, думаю, можно поговорить о том, что, в конце концов, видит эксперт безопасности, и о том, что исследуют антивирусы. Ниже читай о наиболее популярных методах криптовки и обфускации JS-кода.
Субституция стандартных функций/методов JavaScript
Данный метод ориентирован на то, чтобы вместо стандартных функций или методов JavaScript подставить свои переменные:
Флуд комментариями и кодом
Данный способ рассчитан на то, чтобы вставить в обфусцируемый код флуд, то есть что-то, что не несет смысловой нагрузки для кода скрипта. Флудить можно как код, так и комментарии:
В данном случае мы — во-первых, использовали внутреннюю переменную «cookie» объекта «document», как элемент массива. Во-вторых, мы перевели ее имя в шестнадцатеричный формат. Если бы мы использовали переменную «cookie» через точку, то есть как document.cookie, то мы бы не смогли перевести обращение к ней в шестнадцатеричный формат, так как это относится только к строкам (в массиве ключ является строкой), а в document.cookie строк нет.
PHP-функция перевода в шестнадцатеричный формат:
Трюк с несуществующими функциями
Как мы уже знаем из прочитанного выше, в JavaScript можно вызывать методы, как элементы обьекта: document.getElementById и document[‘getElementById’]. Оба варианта фактически одинаковы, различие есть только в записи — во втором варианте мы используем строку.
Как-то вечером я придумал очень интересный способ получения подобных строк. Например, нам нужно зашифровать вышеупомянутый «getElementById». Отвлечемся на короткое объяснение данного способа с помощью такого примера:
Этот скрипт не будет работать, так как функции b, c и d не были ранее объявлены. Теперь попробуем сделать так, чтобы этот код заработал, для этого будем использовать «песочницу» конструкции try<>catch()<>:
После запуска мы увидим ошибку, а это значит, что, хоть код и не является рабочим, он не остановил выполнение оставшейся корректной части.
А вот теперь мы зададимся вопросом, как такая схема может быть связана с шифрованием строки «getElementById»? А вот так:
После выполнения этого кода у нас получится строка «getElementById», содержащаяся в переменной «x».
В чем соль этого метода? В том, что эвристический анализ антивирусов при нахождении функций будет ругаться на то, что они не существуют. Тем самым мы обфусцируем код не на уровне шифровки строк разными способами, а на уровне получения данных строк от самого JavaScript.
Числа с помощью оператора «
» (тильда) является битовым отрицанием и используется вот так: «alert(
13);». Этот код выведет нам «-14». Работает данный оператор по принципу «-(число+1)».
Представим, что мы хотим присвоить переменной «a» какое-нибудь число, причем нигде это число не писать: «a =
[]»;
Данный код присвоит переменной «a» число «-1». Почему? Потому что массив представляет собой нейтральный элемент с числовым значением «0», следовательно,
Буквы и строки без строковых данных
Иногда требуется получить букву/символ или какой-то текст без его явного написания. Сделать это позволяет одна особенность JavaScript. В этом языке существуют различные внутрисистемные сообщения, которые можно преобразовать в текст, а затем этот текст обработать.
Например, представим, что нам нужно получить текст «code». Эта строка содержится в именах таких методов, как charCodeAt(), fromCharCode() и других. Получить текст можно следующим образом:
В данном примере переменная «a» будет содержать текст «code». Разберем подробнее. Попробуй исполнить вот такой код: «alert(alert+»);». Ты увидишь что-то вроде «function alert() < [native code] >». Тем самым, использовав всего-навсего два раза функцию alert(), мы получили совершенно другие символы.
Теперь постараемся понять, как это все работает. Представим, что у каждого объекта, функции и всего остального в JavaScript есть некое «описание». Чтобы получить к нему доступ, нужно явно изменить тип данного объекта или функции на строковой, присоединив, например, пустую строку (+»»).
Шифровка строк
Для шифровки/расшифровки строк в JavaScript существуют несколько полезных функций. Разберем некоторые из них:
Также есть два метода объекта String, которые работают с преобразованием символа в ASCII-код и наоборот:
Преобразование объектов/переменных
Имена объектов и переменных можно также преобразовать в строку (например, чтобы потом эту строку зашифровать). Преобразование происходит по тому же принципу, что и преобразование имен методов, то есть с помощью перехода из формы «.метод» в форму «[метод]». Для корректного преобразования нужно найти еще более высокий в иерархии объектов элемент, который бы имел внутри себя слово «document». Имя ему this. Согласно стандартам JavaScript, this не является объектом, а является оператором, возвращающим ссылку на объект. В результате теперь мы можем безболезненно использовать getElementById таким образом: «this[«document»][«getElementById»]».
Привязка кода
Избегание подозрительных функций
Советую также избегать явное использование функций eval(), document.write() и других. При поиске настоящего кода люди часто используют метод подстановки alert() вместо данных функций, так как после этого код можно сразу прочитать таким, каким мы его начинали шифровать, следовательно, весь смысл обфускации пропадает. Как же выполнить код, не используя фунцкию eval()?
Вспомним про то, что во главе всего стоит оператор this. С помощью него функцию eval() можно превратить вот в такой код:
После такого преобразования мы спокойно сможем использовать «a()» вместо «eval()».
Изменение на нечитаемые строки
Шифрование кода
Способов шифровки текста существует неограниченное количество, хотя все они основаны на использовании каких-либо текстовых/числовых функций. Часто работает конструкция: eval() + функция_расшифровки() + шифрованная_строка. Попробую без лишней воды показать один из таких способов.
Допустим, нам нужно зашифровать строку «alert(1);». Мне пришло в голову брать по два символа из нее, переводить их в числа (ASCII код), считывать их и рядом ставить первый символ в чистой (без перевода) форме. Только стоит учесть, что, разделяя код на такие двухбуквенные части, мы получим код примерно в 2-2,5 раза больше оригинала, а также нельзя забывать, что такие блоки лучше как-то разделять (как элемент массива или через разделитель). За разделитель возьмем знак «%», так как он делает шифрованную строку похожей на URL-строку. Напишем простой PHP-скрипт:
Вот что у нас получилось: « %a205%e215%t156%190%;59 ».
А теперь напишем дешифровщик этого кода на JavaScript:
Вызов кода в таком случае будет выглядеть так: «eval(d(‘%a205%e215%t156%190%;59’));».
Теперь остается только немного обфусцировать весь этот скрипт. Мы не будем использовать все описанные методы, а затронем лишь некоторые из них:
Напоследок
Ну что ж, подведем итоги. При комбинации всех этих способов можно быть на 100% уверенным, что простой или даже средний пользователь не сможет прочитать или скопировать к себе твой код. Но так как специалисты по компьютерной безопасности прекрасно знают о большинстве данных трюков, а также потому что я выкладываю эту информацию на всеобщее обозрение, могу предположить, что данные методы станут более популярными и известными. Я надеюсь, что ты сможешь использовать представленную информацию в благих целях.
Делаем скрипт читаемым
Журнал Хакер, Сентябрь (09) 152
|qbz| (lopuxin.iv@yandex.ru, http://essenzo.net).
Скрыть код
Народ привет!
Как можно скрыть php код?
В денвере есть index.php, код этого файла может открыть и скопировать любой человек, как скрыть код этого файла?
Или поставить пароль на файл?
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Скрыть код везде, кроме главной страницы
Необходимо, чтобы слайдер показывался только на главной странице. Код слайдера в заголовке сайта и.
Скрыть код
Вечер добрый) Возник такой вопрос, а можно ли как-нибудь скрыть некоторые строчки кода, чтобы их.
Как скрыть код
Здравствуйте у меня есть вопрос например я написал некий клевый Javascript код о котором не хочу.
Скрыть код от сторонних лиц
Имею сайт, на котором хочу скрыть код JS, то есть, при открытии исходного кода, чтобы пользователь.
Обычно скрывают код те, кто не может нормально что-то написать.
Им просто стыдно за свой говнокод, вот и пытаются скрыть.
Скрывать качественный код смысла то нет.
Обычно скрывают код те, кто не может нормально что-то написать.
Им просто стыдно за свой говнокод, вот и пытаются скрыть.
Скрывать качественный код смысла то нет.
Товарищ, и вот это вы называете полезным советом?
А я ведь никого не заставляю отвечать на мой вопросы.
Добавлено через 2 часа 2 минуты
Mogul-kan, спасибо за вариант, а как именно куда надо в total’e нажать что пароль поставить?
От кого код срывать нужно? Ответь сначала на этот вопрос. Что значит скрыть? Зашифровать? Сделать нечетабельным?
Вот создай bat файл.
Ruska, Вам надо заблокировать файлы так, чтобы при просмотре сайта в браузере все нормально отображалось, но обычными «руками» файл открыть\прочитать\скопировать было нельзя?
Добавлено через 7 минут
Да именно так и нужно
Добавлено через 1 минуту
Ruska, Вам надо заблокировать файлы так, чтобы при просмотре сайта в браузере все нормально отображалось, но обычными «руками» файл открыть\прочитать\скопировать было нельзя?
Вообще-то это и есть полезный совет, но возможно не корректен в вашей ситуации, которая вами не описана должным образом.
Запустить вебсервер от пользователя, который имеет права на файл.
Пользователю, от которого работает юзер, не давать права на этот файл.
К PHP вопрос отношения не имеет, его следовало задать на форуме твоей операционной системы.
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Netbeans скрыть код начиная с class
Здравствуйте! Возможно-ли скрыть код не только методов, но и класса? Гуглил, но не успешно
Скрыть код созданной библиотеки DLL
Возможно ли скрыть код созданной библиотеки, чтобы при подключении её к проекту библиотеку не.
Как скрыть код на Querymodechange для пользователей
Вот такая ситуация. Опытный пользователь включает Debug LotusScript И меняет значение Continue на.
Как удалить или скрыть динамический код
Доброго времени суток! Есть страница, которая подгружается в модальном окне (см. рисунок): Код.
Скрыть код
Народ привет!
Как можно скрыть php код?
В денвере есть index.php, код этого файла может открыть и скопировать любой человек, как скрыть код этого файла?
Или поставить пароль на файл?
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Скрыть код везде, кроме главной страницы
Необходимо, чтобы слайдер показывался только на главной странице. Код слайдера в заголовке сайта и.
Скрыть код
Вечер добрый) Возник такой вопрос, а можно ли как-нибудь скрыть некоторые строчки кода, чтобы их.
Как скрыть код
Здравствуйте у меня есть вопрос например я написал некий клевый Javascript код о котором не хочу.
Скрыть код от сторонних лиц
Имею сайт, на котором хочу скрыть код JS, то есть, при открытии исходного кода, чтобы пользователь.
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Netbeans скрыть код начиная с class
Здравствуйте! Возможно-ли скрыть код не только методов, но и класса? Гуглил, но не успешно
Скрыть код созданной библиотеки DLL
Возможно ли скрыть код созданной библиотеки, чтобы при подключении её к проекту библиотеку не.
Как скрыть код на Querymodechange для пользователей
Вот такая ситуация. Опытный пользователь включает Debug LotusScript И меняет значение Continue на.
Как удалить или скрыть динамический код
Доброго времени суток! Есть страница, которая подгружается в модальном окне (см. рисунок): Код.