Php Script'lerinizin Güvenliği

Diyelim ki, bizim için önemli ve büyük bir script yazdık, çalınmasını yada başkaları tarafından kullanılmasını istemiyoruz. O halde PHP scriptlerinizin güvenliğini nasıl sağlarsınız?

Diyelim ki, bizim için önemli ve büyük bir script yazdık, çalınmasını yada başkaları tarafından kullanılmasını istemiyoruz. O halde PHP scriptlerinizin güvenliğini nasıl sağlarsınız?

Ve de sıradan bir host firması ile çalışıyoruz. Hosting firmamızın sahibine, çalışanlarına da güvenmiyoruz. Sonuçta FTP şifreleri ellerinin altında, 3 saniye içerisinde bağlanıp, 3 dakika içerisinde tüm scripti alıp kendi sitelerine kurabilirler.

Ya da sunucularının güvenlik açıkları var ise, sıradan bir hacker kolaylıkla sunucuya erişim sağlayarak dosyalarınızı alabilir.

Hem fazla kodlamaya girmeden, karışık algoritmalar kurup güvenlik yapacağım diye uğraşmadani hem de zaman kaybetmeden ne yapabiliriz? Zaten scripti yazmak için bir sürü emek ve zaman harcadık, bir de güvenliğine takılıp daha fazla uğraşmak istemeyiz.

Çözüm olarak çok basit bir kontrol ile, yazdığımız scriptin sadece tek siteye kurulmasını sağlayabiliriz.

PHP'de birkaç kod ile adres satırındaki değerleri okuyabiliyoruz, script her açıldığında adres satırındaki site adını kontrol edersek, atıyorum sadece sanalkurs.net sitesi altında çalışır script. Dışındaki adreslerde hata verir.

Herkesin aklına aynı şey gelecek şimdi, dosyaları ele geçiren kişi, kodları açıp bu adresi kolaylıkla değiştirebilir diyeceksiniz.

Burada da Zend Optimizer ya da buna benzer SourceCop gibi PHP kod şifreleme yazılımları devreye giriyor.

Zend Optimizer ya da başka bir PHP kod şifreleme yazılımı ile de dosyalarınızı şifrelediniz mi, kodları ele geçiren kişiler, dosyaları açtıklarında, hiç anlamadıkları bir dilden yazılmış bir yığın kod görecektir.

Aşağıdaki kodlar ile dilediğiniz gibi bir kontrol yapabilirsiniz.

kontrol.php:



echo "url: " . "http://".$_SERVER['HTTP_HOST']. $_SERVER['PHP_SELF']. "?". $_SERVER['QUERY_STRING'] ."<br>" ;

echo "host: " . $_SERVER['HTTP_HOST'] . "<br>";

echo "php dosya: " . $_SERVER['PHP_SELF']. "<br>";

echo "değiskenler: " . $_SERVER['QUERY_STRING'] . "<br>";



if( $_SERVER['HTTP_HOST'] =="blog.bilgenc.com" ) {

echo "sitemiz açıldı...";

} else {

echo "script çalıntıdır..! lütfen bildiriniz: mail@bilgenc.com";

}



?>




http://blog.bilgenc.com/dosyalar/kontrol.php

http://blog.bilgenc.com/dosyalar/kontrol.php?degisken1=deneme1&degisken2=deneme2



Örneğin bu kodları değişiklik yapmadan bir de kendi bilgisayarınızda, yani lokalde deneyin..

Yok ben paylaşımcı bir kişiyim, scriptimi çalanlara da saygım vardır derseniz, scriptinizin başka bir sitede de çalışmasına izin verir, ancak küçük bir alert uyarısı verirsiniz, "BU SCRIPT ÇALINTIDIR!" şeklinde...

Siteye giren ziyaretçi bu çıkan alert'a "Tamam" deyip, siteye erişimine devam ederler...
  • Etiketler;
Yorum Yaz

Yorum yazabilmek için üye girişi yapmanız gerekiyor!

çok güzel kafamda birşeyler artık şekillenmeye başlıyor.
gerçekten güzel döküman teşekkürler
bence bunu zaten kuran kişi php den iyi anlıyorsa kodları düzenleyerek scripti kullanabilir. ama bence bu kodların arasına host bilgilerini maillersek adam zaten farkedip düzeltse bile tabiki scripti hosta atmadan önce incelememiş olursa mailimize alabiliriz. maille bilgiyi alınca yakasına yapışırız adamın.

Yukarı Git