[討論]歡迎高手來(lái)PK：php程序的后門(mén)與反后門(mén)問(wèn)題...

zyme

:em11:以下討論，都是針對(duì)被zend...eacc...mmcache之類(lèi)的加密后的php的....

我昨天突然想到一個(gè)，PHP程序上，很有價(jià)值的一個(gè)問(wèn)題，就是：
我使用了被zend后之類(lèi)的php程序，
如何防止原作者在里面有留后門(mén)？

1、簡(jiǎn)單方案：防止手動(dòng)指定GET參數(shù)和POST方法，這個(gè)可以用apache實(shí)現(xiàn)，就像防盜鏈一樣。
2、進(jìn)階方案：用php在應(yīng)用層上控制不是最好的，因?yàn)閔ttp訪(fǎng)問(wèn)是無(wú)狀態(tài)的，所以，應(yīng)該在客戶(hù)機(jī)與服務(wù)端的session中做文章。于是，嘿嘿append上場(chǎng)
3、高級(jí)方案：session也是可以被程序惡意作者加以處理，惡意作者也可以在程序中實(shí)現(xiàn)自動(dòng)觸發(fā)，比如：book_id=1到99都沒(méi)事，到100它就刪除數(shù)據(jù)庫(kù)，慘，所以，php的預(yù)編譯，動(dòng)作監(jiān)視，等等上場(chǎng)....
4、完美方案：以上，都是魔高道高的無(wú)聊對(duì)抗升級(jí)...所以，還是聯(lián)系php老家，叫他們把safe_mode升級(jí)到更高層次...

具體怎么做，我已經(jīng)做了1、2種方案(有人回就播出)，第3種正在構(gòu)架，第4種請(qǐng)e文好的人，聯(lián)系一下php的老家吧...

夜貓子

你娃就是一天喜歡想這些稀奇古怪的東西，其實(shí)你的這個(gè)擔(dān)心早就已經(jīng)有人做出解決方案了，這個(gè)解決方案就是：開(kāi)放源代碼，不給我源代碼，我就不用你的東西。
你的這個(gè)擔(dān)心只有開(kāi)放源代碼才能真正解決，不然就是簡(jiǎn)單的做下手腳，拿到你的admin密碼，再走正門(mén)進(jìn)來(lái)，這簡(jiǎn)直是太簡(jiǎn)單了，結(jié)果就是你用于防范的成本大大高于做手腳的成本（關(guān)鍵是還不一定有效），這是一種不對(duì)稱(chēng)的對(duì)抗。

PS： BS騙貼行為！

zyme

嘿嘿，我喜歡，要擅于用工具改造世界...

HonestQiao

使用他人的程序，這些似乎是不可避免的事情。

從程序的外部，無(wú)法區(qū)分程序內(nèi)部的哪些操作是安全的。

除非程序本身進(jìn)行了設(shè)計(jì)。

或者程序用你的接口。

james.liu

如果該程序原作者將明感數(shù)據(jù)通過(guò)某個(gè)固定鏈接將數(shù)據(jù)傳出去呢？


感覺(jué)樓主的問(wèn)題沒(méi)有多大實(shí)際意義。理由見(jiàn)夜貓子的回帖

zyme

唉，討厭的zend

alinker

原帖由 zyme 于 2006-5-8 10:41 發(fā)表
嘿嘿，我喜歡，要擅于用工具改造世界...

科技因有你這樣的創(chuàng)意人士才會(huì)進(jìn)步~
支持！

any strange idea is wonderful idea!

scriptkidz

這里插如的后門(mén)樓主指的什么呢？

scriptkidz

1、簡(jiǎn)單方案：防止手動(dòng)指定GET參數(shù)和POST方法，這個(gè)可以用apache實(shí)現(xiàn)，就像防盜鏈一樣。
這點(diǎn)不明白，對(duì)ＡＰ不很熟，禁止get＆post嗎？不會(huì)的，那就過(guò)濾參數(shù)？感覺(jué)沒(méi)什么用的，用apache怎么實(shí)現(xiàn)請(qǐng)指點(diǎn)下～
如果代碼是一句include那怎么防呢？

xuzuning

呵呵！如果后門(mén)就象這樣被堵住了，那叫后門(mén)嗎？？？