Je suis entrain de développer une appli en PHP/MySQL qui tournera chez un client en local, C'est bien
Y'a t'il une manière de protéger mes fichiers PHP, ainsi que la structure de ma base ? protéger de quoi?
Espionnage industriel? destruction? plantage?>
Saad Saad
Saad Saad avait prétendu :
Bonjour,
Bonjour,
Je suis entrain de développer une appli en PHP/MySQL qui tournera chez un client en local,
C'est bien
Y'a t'il une manière de protéger mes fichiers PHP, ainsi que la structure de ma base ?
protéger de quoi? Espionnage industriel? destruction? plantage?>
Je parle bien sur ici de la protection contre l'espionnage, et la manipulation diverse par un employé un peu fouille m...
Le programme tourne sur XP, en local, sur 2 ou 3 stations. et donc même en mettant un mot de passe admin dans la base MySQL, il est possible de récupérer les fichiers MySQL et PHP sans problème.
J'ai trouvé un programme qui permet de "compacter" les fichiers HTML, PHP,... Il supprime tout les blancs, ce qui à l'avantage d'avoir des fichiers plus compacte et casi illisible.
Est-ce suffisant ?
Saad Saad avait prétendu :
Bonjour,
Bonjour,
Je suis entrain de développer une appli en PHP/MySQL qui tournera chez
un client en local,
C'est bien
Y'a t'il une manière de protéger mes fichiers PHP, ainsi que la
structure de ma base ?
protéger de quoi?
Espionnage industriel? destruction? plantage?>
Je parle bien sur ici de la protection contre l'espionnage,
et la manipulation diverse par un employé un peu fouille m...
Le programme tourne sur XP, en local, sur 2 ou 3 stations.
et donc même en mettant un mot de passe admin dans la base MySQL, il est
possible de récupérer les fichiers MySQL et PHP sans problème.
J'ai trouvé un programme qui permet de "compacter" les fichiers HTML,
PHP,...
Il supprime tout les blancs, ce qui à l'avantage d'avoir des fichiers
plus compacte et casi illisible.
Je suis entrain de développer une appli en PHP/MySQL qui tournera chez un client en local,
C'est bien
Y'a t'il une manière de protéger mes fichiers PHP, ainsi que la structure de ma base ?
protéger de quoi? Espionnage industriel? destruction? plantage?>
Je parle bien sur ici de la protection contre l'espionnage, et la manipulation diverse par un employé un peu fouille m...
Le programme tourne sur XP, en local, sur 2 ou 3 stations. et donc même en mettant un mot de passe admin dans la base MySQL, il est possible de récupérer les fichiers MySQL et PHP sans problème.
J'ai trouvé un programme qui permet de "compacter" les fichiers HTML, PHP,... Il supprime tout les blancs, ce qui à l'avantage d'avoir des fichiers plus compacte et casi illisible.
Est-ce suffisant ?
Bruno Desthuilliers
Y'a t'il une manière de protéger mes fichiers PHP, ainsi que la structure de ma base ?
Leur mettre une capote ?-)
<meta target="moderateur"> Désolé, j'ai pas résisté </meta>
Y'a t'il une manière de protéger mes fichiers PHP, ainsi que la
structure de ma base ?
Leur mettre une capote ?-)
<meta target="moderateur">
Désolé, j'ai pas résisté
</meta>
Y'a t'il une manière de protéger mes fichiers PHP, ainsi que la structure de ma base ?
Leur mettre une capote ?-)
<meta target="moderateur"> Désolé, j'ai pas résisté </meta>
John Gallet
Bonjour,
Je parle bien sur Non, pas "bien sûr".
ici de la protection contre l'espionnage, C'est quoi l'espionnage ?
Le programme tourne sur XP, en local, sur 2 ou 3 stations. et donc même en mettant un mot de passe admin dans la base MySQL, il est possible de récupérer les fichiers MySQL et PHP sans problème.
L'accès aux fichiers en local n'est pas du ressor de ce forum mais un problème de droits donc du système d'exploitation. Si les machines tournaient sous unix, ce problème ne se poserait pas. Mauvais système d'exploitation, changer de système d'exploitation.
Il supprime tout les blancs, ce qui à l'avantage d'avoir des fichiers plus compacte et casi illisible. Est-ce suffisant ?
La réponse est dans la question : non évidemment. En revanche, on peut précompiler (encoder) les scripts. Cf Zend, IonCube, turkmmcache, etc... Ca c'est plus dur à décompiler. Ca fait deux ans que je demande publiquement à quel point, mais apparement, la réponse ne traine pas dans le domaine public.
Tiens, ça me fait penser que je voulais le rajouter dans la FAQ, j'ai oublié.
JG
Bonjour,
Je parle bien sur
Non, pas "bien sûr".
ici de la protection contre l'espionnage,
C'est quoi l'espionnage ?
Le programme tourne sur XP, en local, sur 2 ou 3 stations.
et donc même en mettant un mot de passe admin dans la base MySQL, il est
possible de récupérer les fichiers MySQL et PHP sans problème.
L'accès aux fichiers en local n'est pas du ressor de ce forum mais un
problème de droits donc du système d'exploitation. Si les machines
tournaient sous unix, ce problème ne se poserait pas. Mauvais système
d'exploitation, changer de système d'exploitation.
Il supprime tout les blancs, ce qui à l'avantage d'avoir des fichiers
plus compacte et casi illisible.
Est-ce suffisant ?
La réponse est dans la question : non évidemment. En revanche, on peut
précompiler (encoder) les scripts. Cf Zend, IonCube, turkmmcache, etc...
Ca c'est plus dur à décompiler. Ca fait deux ans que je demande
publiquement à quel point, mais apparement, la réponse ne traine pas
dans le domaine public.
Tiens, ça me fait penser que je voulais le rajouter dans la FAQ, j'ai
oublié.
ici de la protection contre l'espionnage, C'est quoi l'espionnage ?
Le programme tourne sur XP, en local, sur 2 ou 3 stations. et donc même en mettant un mot de passe admin dans la base MySQL, il est possible de récupérer les fichiers MySQL et PHP sans problème.
L'accès aux fichiers en local n'est pas du ressor de ce forum mais un problème de droits donc du système d'exploitation. Si les machines tournaient sous unix, ce problème ne se poserait pas. Mauvais système d'exploitation, changer de système d'exploitation.
Il supprime tout les blancs, ce qui à l'avantage d'avoir des fichiers plus compacte et casi illisible. Est-ce suffisant ?
La réponse est dans la question : non évidemment. En revanche, on peut précompiler (encoder) les scripts. Cf Zend, IonCube, turkmmcache, etc... Ca c'est plus dur à décompiler. Ca fait deux ans que je demande publiquement à quel point, mais apparement, la réponse ne traine pas dans le domaine public.
Tiens, ça me fait penser que je voulais le rajouter dans la FAQ, j'ai oublié.
JG
Marc
Est-ce suffisant ?
il y a cela :
http://pecl.php.net/package/bcompiler
c'est juste un compilateur en pseudo-code. Ca peut biensur etre decompilé, mais ce sera certainement suffisant.
Est-ce suffisant ?
il y a cela :
http://pecl.php.net/package/bcompiler
c'est juste un compilateur en pseudo-code. Ca peut biensur etre
decompilé, mais ce sera certainement suffisant.
c'est juste un compilateur en pseudo-code. Ca peut biensur etre decompilé, mais ce sera certainement suffisant.
John Gallet
Re,
Ca peut biensur etre decompilé,
Mais qu'est-ce qu'ils ont tous aujourd'hui avec leurs affirmations gratuites non étayées ?? C'est une nouvelle mode ? Ah non, Marc, tu vas pas t'y mettre aussi ;-)
Il est dit ici : http://fr3.php.net/manual/en/ref.bcompiler.php
<CITE> In terms of code protection, it is safe to say that it would be impossible to recreate the exact source code that it was built from, and without the accompanying source code comments. It would effectively be useless to use the bcompiler bytecodes to recreate and modify a class. However it is possible to retrieve data from a bcompiled bytecode file - so don't put your private passwords or anything in it. </CITE>
Je repose donc la question (sans réponses) que j'avais lancée il y a quelques mois : qu'en est-il vraiment ? Pourquoi n'arriverait-on pas à décompiler du bytecode PHP alors qu'il y a des chiées d'utilitaires existant en java pour le faire ?
JG
Re,
Ca peut biensur etre decompilé,
Mais qu'est-ce qu'ils ont tous aujourd'hui avec leurs affirmations
gratuites non étayées ?? C'est une nouvelle mode ? Ah non, Marc, tu vas
pas t'y mettre aussi ;-)
Il est dit ici : http://fr3.php.net/manual/en/ref.bcompiler.php
<CITE>
In terms of code protection, it is safe to say that it would be
impossible to recreate the exact source code that it was built from, and
without the accompanying source code comments. It would effectively be
useless to use the bcompiler bytecodes to recreate and modify a class.
However it is possible to retrieve data from a bcompiled bytecode file -
so don't put your private passwords or anything in it.
</CITE>
Je repose donc la question (sans réponses) que j'avais lancée il y a
quelques mois : qu'en est-il vraiment ? Pourquoi n'arriverait-on pas à
décompiler du bytecode PHP alors qu'il y a des chiées d'utilitaires
existant en java pour le faire ?
Mais qu'est-ce qu'ils ont tous aujourd'hui avec leurs affirmations gratuites non étayées ?? C'est une nouvelle mode ? Ah non, Marc, tu vas pas t'y mettre aussi ;-)
Il est dit ici : http://fr3.php.net/manual/en/ref.bcompiler.php
<CITE> In terms of code protection, it is safe to say that it would be impossible to recreate the exact source code that it was built from, and without the accompanying source code comments. It would effectively be useless to use the bcompiler bytecodes to recreate and modify a class. However it is possible to retrieve data from a bcompiled bytecode file - so don't put your private passwords or anything in it. </CITE>
Je repose donc la question (sans réponses) que j'avais lancée il y a quelques mois : qu'en est-il vraiment ? Pourquoi n'arriverait-on pas à décompiler du bytecode PHP alors qu'il y a des chiées d'utilitaires existant en java pour le faire ?
JG
Thuwe
Oui le moyen technique pour éviter cela c'est la compilation du code par des outils existants (à vrai dire, je ne les connais pas car je ne les ai encore jamais utilisé, n'en ayant jamais eu la nécessité).
Après c'est toujours possible de décompiler, de trouver des failles etc... Mais je pense que le problème, dans ton cas, n'est pas vraiment technique mais plutôt administratif vis-à-vis de ton client... L'application est-elle dévelloppé seulement pour lui, est-ce une application propriétaire destinée à être distribué à d'autres ? Etc... Car dans certains cas, il peut tout à fait avoir le droit de modifier les sources que tu lui livres (mais contrairement à toi n'aurait pas le droit de diffuser l'application)...
Rappel aussi que les outils comme MySQL qui, bien qu'open source n'a pas le droit d'être utilisé gratuitement dans le cas d'une application à but commercial.
Mais bien sur, ce n'est plus vraiment dans le sujet.
Julien
Oui le moyen technique pour éviter cela c'est la compilation du code
par des outils existants (à vrai dire, je ne les connais pas car je ne
les ai encore jamais utilisé, n'en ayant jamais eu la nécessité).
Après c'est toujours possible de décompiler, de trouver des failles
etc... Mais je pense que le problème, dans ton cas, n'est pas vraiment
technique mais plutôt administratif vis-à-vis de ton client...
L'application est-elle dévelloppé seulement pour lui, est-ce une
application propriétaire destinée à être distribué à d'autres ?
Etc... Car dans certains cas, il peut tout à fait avoir le droit de
modifier les sources que tu lui livres (mais contrairement à toi
n'aurait pas le droit de diffuser l'application)...
Rappel aussi que les outils comme MySQL qui, bien qu'open source n'a
pas le droit d'être utilisé gratuitement dans le cas d'une
application à but commercial.
Mais bien sur, ce n'est plus vraiment dans le sujet.
Oui le moyen technique pour éviter cela c'est la compilation du code par des outils existants (à vrai dire, je ne les connais pas car je ne les ai encore jamais utilisé, n'en ayant jamais eu la nécessité).
Après c'est toujours possible de décompiler, de trouver des failles etc... Mais je pense que le problème, dans ton cas, n'est pas vraiment technique mais plutôt administratif vis-à-vis de ton client... L'application est-elle dévelloppé seulement pour lui, est-ce une application propriétaire destinée à être distribué à d'autres ? Etc... Car dans certains cas, il peut tout à fait avoir le droit de modifier les sources que tu lui livres (mais contrairement à toi n'aurait pas le droit de diffuser l'application)...
Rappel aussi que les outils comme MySQL qui, bien qu'open source n'a pas le droit d'être utilisé gratuitement dans le cas d'une application à but commercial.
Mais bien sur, ce n'est plus vraiment dans le sujet.
Julien
__marc.quinton__
John Gallet wrote:
Je repose donc la question (sans réponses) que j'avais lancée il y a quelques mois : qu'en est-il vraiment ? Pourquoi n'arriverait-on pas à décompiler du bytecode PHP alors qu'il y a des chiées d'utilitaires existant en java pour le faire ?
il suffirait de regarder ce que fait le compilateur php. S'il genere un code tres proche de l'assembleur, enfin pour dire tres eloigné du langage php, dans ce cas a quoi bon decompiler puisque tu n'auras que du charabia et tu sera tres loin du langage source.
Il faut savoir que les moteurs qui interpretent les langages (pcode) possedent assez souvent un jeu d'instruction tres reduit, ce qui signifie qu'une seule instruction php peut se transformer en une multitude de sous instruction du moteur. De meme une instruction tres différente peut engendrer une liste d'instruction en pseudo code assez identique. Tout cela pour demontrer qu'il n'y a pas un lien direct et immediat entre code generé et code php.
S'il y a une différence avec java, c'est peut-etre que le moteur java (machine virtuelle) est doté d'un jeu d'instructions tres différent et probablement bien plus riche. Et dans ce contexte peut-etre que le delta entre le code et le code compilé est tres reduit.
John Gallet wrote:
Je repose donc la question (sans réponses) que j'avais lancée il y a
quelques mois : qu'en est-il vraiment ? Pourquoi n'arriverait-on pas à
décompiler du bytecode PHP alors qu'il y a des chiées d'utilitaires
existant en java pour le faire ?
il suffirait de regarder ce que fait le compilateur php. S'il
genere un code tres proche de l'assembleur, enfin pour dire
tres eloigné du langage php, dans ce cas a quoi bon decompiler
puisque tu n'auras que du charabia et tu sera tres loin du langage
source.
Il faut savoir que les moteurs qui interpretent les langages (pcode)
possedent assez souvent un jeu d'instruction tres reduit,
ce qui signifie qu'une seule instruction php peut se transformer
en une multitude de sous instruction du moteur. De meme une
instruction tres différente peut engendrer une liste d'instruction
en pseudo code assez identique. Tout cela pour demontrer qu'il
n'y a pas un lien direct et immediat entre code generé et code php.
S'il y a une différence avec java, c'est peut-etre que le moteur
java (machine virtuelle) est doté d'un jeu d'instructions tres
différent et probablement bien plus riche. Et dans ce contexte
peut-etre que le delta entre le code et le code compilé est tres
reduit.
Je repose donc la question (sans réponses) que j'avais lancée il y a quelques mois : qu'en est-il vraiment ? Pourquoi n'arriverait-on pas à décompiler du bytecode PHP alors qu'il y a des chiées d'utilitaires existant en java pour le faire ?
il suffirait de regarder ce que fait le compilateur php. S'il genere un code tres proche de l'assembleur, enfin pour dire tres eloigné du langage php, dans ce cas a quoi bon decompiler puisque tu n'auras que du charabia et tu sera tres loin du langage source.
Il faut savoir que les moteurs qui interpretent les langages (pcode) possedent assez souvent un jeu d'instruction tres reduit, ce qui signifie qu'une seule instruction php peut se transformer en une multitude de sous instruction du moteur. De meme une instruction tres différente peut engendrer une liste d'instruction en pseudo code assez identique. Tout cela pour demontrer qu'il n'y a pas un lien direct et immediat entre code generé et code php.
S'il y a une différence avec java, c'est peut-etre que le moteur java (machine virtuelle) est doté d'un jeu d'instructions tres différent et probablement bien plus riche. Et dans ce contexte peut-etre que le delta entre le code et le code compilé est tres reduit.
