15

我已经使用 PHP 创建了一个应用程序,我将把它卖给我的本地市场。我将亲自去他们的位置安装/配置 Apache 和 MySQL 以及安装我自己的代码。

我想要一个安全系统,这样如果有人试图将我的代码复制到未经授权的机器上,它就不会运行。

我知道没有人可以阻止对应用程序进行逆向工程。甚至 .exe(二进制)文件都被破解,而 PHP(源代码)任何人都可以做到。

在我的国家,那些逆向工程师真的很难找到,所以我想提出最低限度的安全选项,例如:

1)创建类(例如,Navigation),它标识系统信息,如 CPU ID、计算机名称或硬件 ID 的任何组合,以创建一个 UNIQUE_ID 并与我给定的 UNIQUE_ID 匹配(给我向其出售应用程序的个人)。如果有效,则返回导航菜单。否则它会简单地破坏数据库并通过抛出异常来停止执行,可能像:

class Navigation {

    public function d() {
        return current system UNIQUE_ID;
    }

    public function get() {
        $a = file_get_contents('hash');
        $c = $this->d();
        if (crypt($c) != $a) {
            //destory database
            throw new Exception('');
        } else {
            return "<ul><li><a>home</a></li></ul>"; //navigation menu
        }
    }

}

2)然后在安装过程中,我将在“hash”文件中更改系统UNIQUE_ID,创建一个对象,并将其保存到一个文件(nav.obj)中:

(安装.php)

<?php
      $a=new Navigation;
      $out=serialize($a);
      file_put_contents('nav.obj', $out);

3) 在 header.php 中(包含在每个文件中):

<?php
     $menu=file_get_contents('nav.obj');
     $menu=unserialize($a);
     echo $menu->get();
 ?>

我知道这种方法不能完全证明,但我很确定大约 60% 的 PHP 开发人员将无法破解它!

现在我只需要获取当前系统的 UNIQUE_ID。

4

2 回答 2

21

我创建了这个函数来获取基于硬件的唯一 ID(硬盘 UUID)。根据您的需要,可以使用不同的资源(例如机器名称、域甚至硬盘大小)来获得更好的方法。

 function UniqueMachineID($salt = "") {
    if (strtoupper(substr(PHP_OS, 0, 3)) === 'WIN') {
        $temp = sys_get_temp_dir().DIRECTORY_SEPARATOR."diskpartscript.txt";
        if(!file_exists($temp) && !is_file($temp)) file_put_contents($temp, "select disk 0\ndetail disk");
        $output = shell_exec("diskpart /s ".$temp);
        $lines = explode("\n",$output);
        $result = array_filter($lines,function($line) {
            return stripos($line,"ID:")!==false;
        });
        if(count($result)>0) {
            $result = array_shift(array_values($result));
            $result = explode(":",$result);
            $result = trim(end($result));       
        } else $result = $output;       
    } else {
        $result = shell_exec("blkid -o value -s UUID");  
        if(stripos($result,"blkid")!==false) {
            $result = $_SERVER['HTTP_HOST'];
        }
    }   
    return md5($salt.md5($result));
}


echo UniqueMachineID();
于 2014-09-17T09:50:38.787 回答
1

根据http://man7.org/linux/man-pages/man5/machine-id.5.html

$machineId = trim(shell_exec('cat /etc/machine-id 2>/dev/null'));

编辑铁托:

[ekerner@**** ~]$ ls -l /etc/machine-id
-r--r--r--. 1 root root 33 Jul  8  2016 /etc/machine-id

铁托的编辑 2:需要考虑的一些事情和场景:

是否允许用户获得新机器?我猜是的。还是在多个设备上运行?听起来机器可能与您的情况无关?

如果只有它的用户(没有机器限制),那么 Id 去寻求许可服务(依赖于网络)。为此有很多服务:Google Play(适用于 Android 应用程序)就是一个很好的例子:https ://developer.android.com/google/play/licensing/index.html MS 和 Apple 也有类似的服务。但是,只需在 Web 上搜索术语“软件许可服务”或“基于云的软件许可服务”。

如果它的用户 + 单个设备,那么您需要将设备 ID 传递给您使用或制作的任何服务,然后允许更新机器 ID,但不允许恢复到以前的机器 ID(这意味着多个设备)。但是,所述服务将为您提供客户端代码,如果需要,该代码应负责处理。

经验中的两个场景: 1:任何设备上的用户:我们只是在云中(在网站中)创建了一个 API,并在应用程序中创建了一个登录屏幕,当用户登录时通过 API 进行身份验证并保留令牌,并且无论何时设备已连接到网络,应用程序将查询 API 并更新登录名和/或令牌。您也可以在购买时使用登录屏幕(就像他们可能已经登录到要购买的网站一样),生成密钥并将其打包或绑定到应用程序中。

2:用户加机器:除了查询API时,机器ID是向上传递的。机器 ID 可以随着用户更新他们的设备而多次更改,但我们保留了机器 ID 的记录并制定了禁止规则:如果我们看到旧的(以前使用过的)机器 ID,那么必须有一定的时间通过了。因此,允许用户破坏他们的机器并取出一台旧机器。

还要考虑如果你制作一个,你将如何阻止应用程序工作?Ppl 非常聪明,它需要进行核心编译。

尽管如此,各种许可服务在这方面都很专业,可以满足大多数需求。加上他们的经验,他们已经克服了安全隐患。我会说出我喜欢的一个,除了你要搜索的。

如果你能从你的足迹中获得积极或消极的结果,那就太好了。

于 2017-02-13T12:17:40.577 回答