שמעו אני בונה מערכות לאנשים ובתמורה מקבל משהו ,אם הם לא עומדים בהבטחה אז אני פשוט נועל אותה ,הבעיה שכל אחד יכול לזהות איך לשבור את הנעילה הזאת.
השיטה שאני משתמש בה היא שאני עושה משתמש בשביל אבטחה,וכשאני משנה את השם של המשתמש הזה לשם מסוים אז המערכת נעולה ואין להם אתר ,הבעיה שזה תנאי פשוט :

קוד PHP:

 איזי $a == "blabla" 


הבעיה שאני רוצה להסתיר את התנאי ואני לא יודע איך או אם יש פונקציה מיוחדת אני אשמח ,
תודה ואמשך יום נעים

לי דווקא יש רעיון אחר -
אתה יכול להשתמש בisset ! לניק המשתמש של המשתמש שאתה רשמת,
ואם התנאי מתקיים (לא נמצא הניק של המשתמש) זה אומר שהאתר נעול
אחרת.. מכאן תמשיך..

וככה בקלות, כל עוד האתר פועל, שים איזה ניק שבא לך דרך המסד לשם משתמש הזה,
ואם אתה נועל פשוט תמחק את הניק..

מקווה שהבנתי.

--- ! Area Close ! ---

הפוך את קוד ה-PHP שנועל את המערכת למחרוזת (ע"י תחימה שלו עם גרשיים).
הרץ על המחרוזת (שמכילה את קוד נעילת המערכת) פונקציה שתהפוך את המחרוזת ל-HASH שניתן לתרגם אותו בחזרה.
ואז, הפעל פונקציה שתתרגם את מחרוזת ה-HASH למחרוזת המקורית (קוד ה-PHP שנועל את המערכת) כשעל הפונקציה הזו מופעלת הפונקציה eval.

בצורה הזו יהיה קשה יותר לגלות שזה בכלל הקוד שנועל את המערכת.

זה נשמע לי רעיון מבריק אבל התבלבלתי איתו קצת
אתה יכול להראות לי בבקשה באיזה פונקציות להשתמש ואיך להשתמש בהם?
תודה...

לדוגמא הטקסט "lockingCode" זה קוד הנעילה. (רק שמעשית, קוד הנעילה צריך להיות כתוב בשפת PHP עם תחביר נכון ואמור לפעול נכון אם פועלת עליו פונקציית eval).

אז תריץ עליו את הפונקציה base64_encode בצורה הבאה באופן פרטי (מבלי לשים את זה בקובץ עצמו שתביא למשתמש שינסה את המערכת):

קוד PHP:

 echo base64_encode("lockingCode"); 


אח"כ תקבל מחרוזת HASH מסויימת (נניח שהמחרוזת שקיבלת היא "VGhpcyBpcyBhbiBlbmNvZGVkIHN0cmluZw==").
הרץ את הפונקציה base64_decode על מחרוזת ה-HASH הנ"ל, ועל זה בצע eval:

קוד PHP:

 eval(base64_decode('VGhpcyBpcyBhbiBlbmNvZGVkIHN0cm  luZw==')); # Locks the system 


ככה קשה יותר להבין שזה הקוד שנועל את המערכת. את הקוד האחרון הנ"ל שכתבתי, שים בקבצים במערכת שלך.

----------------------------------------------

דבר אחר, כאשר אתה מוסר את המערכת שלך לבדיקה למשתמש, תוסיף לה אפשרות לביצוע SQL injection.
וכאשר המשתמש האחר עושה בעיות, תזריק שאילתא שתפיל את כל מסד הנתונים ואז כל המערכת לא תיפעל...

דבר אחר2, אני יודע שב-MYSQL יש אפשרות ליצור EVENT, שבעזרתו אפשר להריץ כל כמה זמן שאילתא. מכאן שאפילו לא תצטרך לבצע SQL injection...
או להיעזר ב-TRIGGER אם תירצה...

אבל המשתמש יכול לשנות את eval ל echo

ואז הקוד יוצג לפניו, והוא יוכל לשנות אותו.

לא אמרתי שיהיה בלתי אפשרי לשנות...

ציטוט:

ככה קשה יותר להבין שזה הקוד שנועל את המערכת. ...

הוא לא יקבל שום hash. הוא יקבל מחרוזת מוצפנת.

בברכה,

אתה יכול להריץ את המערכת על שרת שלך, לתת למשתמש את כול הרשאות הניהול וכאשר הוא ישלם להעביר לו את הקבצים הפתוחים

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

אין שום דרך שתמנע ממישהו נחוש...

אתה יכול להצפין את הקוד שלך באמצעות תוכנות ייעודיות (מצריך טעינה של משהו בשרת בשביל שזה יעבוד). למשל בתוכנה SourceGuardian אתה יכול לא רק להצפין, אלא גם להגביל את הקוד בזמן (כולל בדיקת מול שרת זמן כדי לוודא שלא חיבלו בשרת) - להגביל את הקוד שיעבוד רק על דומיין מסויים, IP מסויים, כתובת של כרטיס מסויים, וכך הלאה וכך הלאה. בנוסף יש אפשרות להגביל את הקובץ כך שיעבוד עם קובץ רשיון חיצוני, ואז לעשות את ההגבלות על הקובץ החיצוני. ככה, אתה יכול למסור את כל הקוד שלך, ופשוט לצרף רשיון מוגבל בזמן ללקוח - קובץ בודד שאותו תשלח ללקוח בכל פעם שירצה לחדש את הרשיון.

החסרון היחיד הוא שהמוצר הנ"ל עולה כסף...

אני לא מכיר מוצר שלא עולה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אבל..
יש אפשרות לרכוש קידוד + רשיון לפרוייקט (אני לא זוכר את כתובת האתר, אבל השירות עולה בערך 4$ לאפליקציה בינונית) מבוסס ZendGurd.

יש עוד מוצר קידוד שבבדיקות שאני ערכתי היה לא רע בכלל והוא זול משמעותית לעומת המתחרים http://www.ioncube.com

ושימי הערה קטנה וחשובה שלא צויינה שעבור המוצרים הללו, יש צורך בתוכנה שתרוץ על השרת על-מנת שתפענח את ההצפנה (ולא כל חברת אחסון מתקינה / מוכנה להתקין אותם).

בברכה,

לא צויינה רק אם אתה צריך משקפיים

ציטוט:

במקור נכתב על ידי שימי באמצעות תוכנות ייעודיות (מצריך טעינה של משהו בשרת בשביל שזה יעבוד)

נמאס לכם לזכור סיסמאות? לחצו כאן!

אם אתה רוצה שבנעילה הזו תלך להם המערכת, אתה עושה לעצמף אופציה שאם תיכנס לדףכלשהו עם משתמש כלשהו אז זה ימחק את הקבצים של המערכת, וככה בעצם דפקת אותם, זה יפעל רק במקרה שמישהו יחשוד בך ויבדוק את המערכת ברגע שהוא יקבל אותה.
או שתשתמש בשיטה שבן-אור הציע , לתת לו להתנסות על השרת שלך ואם הוא מרוצה שישלם ואז יקבל.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תעשה מה שהוא אמר וגם תעשה
שעם משתמש מסויים לא מופיע במסד אז קבצים ימחקו(של המערכת)ככה עם הם מוחקים אותך אז הכל הלך