Encriptar código PHP

He realizado un trabajo utilizando PHP y he escuchado a manera de rumor que el código se puede encriptar de tal forma que sea ilegible para cualquier persona. Deseo realizar este procedimiento pero no se como hacerlo ni que herramienta lo haga. Sería bueno saber si existe alguna herramienta GNU que lo haga o en su defecto cualquier herramienta que lo haga..

Si amigo de echo en el post aportes de codigo publique el script que yo uso es en base64 ok?

http://www.carlosfocus.com/scripts/encriptar.zip

click ahi para descargarlo

Saludos.

PD: el script no funciona local tienes que subirlo a algun hosting.

No entiendo el porque de encriptar tu código php puesto que php se ejecuta del lado del servidor, al usuario final no le llega absoltamente nada de código de php unicamente le llegan las etiquetas <html> para que las interprete el browser.

En muchos casos lo que deseas es proteger tu propiedad intelectual de tu aplicación .. evitar que sea distribuida bajo condicones que tu no acordastes con tu cliente .. en otros servidores, versiones de prueba que deben expirar .. etc.

Todo esto cara al código PHP lo puedes asegurar con aplicaciones como:

Zend Safeguard
http://www.zend.com/products/zend_safeguard

PHP Encoder
http://www.ioncube.com/

Como veras .. son aplicaciones de "pago" .. algo lógico si quieres proteger tu trabajo y no es una aplicación de libre distribución /licencia (GNU o equivalente).

Lo que es el código de salida que PHP genere (ese "HTML" .. etc...) no tiene sentido protegerlo .. más bien "ofuscarlo" .. es decir .. complicar su lectura . .pero realmente eso es lo de menos. Lo que debe preocuparte es el código PHP que en realidad es tu fuerte en el trabajo.

Un saludo,

Yo use el que publique ya que desarrolle una aplicacion de administracion de clientes de hospedaje web y tenia dos maneras de venderlo codigo abierto o encriptado.

Si usas "base64" . técnicamente no estarías encriptando nada .. (de hecho lo dice el código que presentas en sus comentarios de uso).

sino "ofuscando" .. El termino es diferente. El hecho es que si tu usas "base64_encode()" .. cualquier persona puede tomar eso y aplicar otro "base64_decode()" sin problemas. Lo compliques más o menos .. no es una encriptación propiamente tal sino una "ofuscación" o "ponerlo más dificil para quien lo lea".

Un saludo,

Si cierto la idea seria en binario o md5 de este tema si no tengo mucha experiencia.........

como te dijeorn por ahi el Zend Encoder :)

Con MD5() no podrías "desencriptarlo" ...

Un saludo,

http://www.forosdelweb.com/f18/ofuscar-codigo-php-encriptar-333835/

Hola a todos.

No entiendo muy bien cómo funciona... ¿encriptas los archivos PHP y el sevidor los "desencripta" solicitando una clave externa controlada por tí?

Es que no entiendo cómo es posible que el servidor pueda renderizar las páginas sino :(

El Zend Safeguard lo que hace es generar un código intermedio que puede leer el motor de ejecución Zend (es el motor de ejecución de PHP).
Funciona exáctamente igual que si no lo hubieras encriptado (la palabra sería compilado) y hasta tiene mejor rendimiento.

Los mecanismos de cifrado en base64 son una risa, es decir:
Con las función base64_decode() obtenés el código PHP.

Ofuscar el código te garantiza que va a ser muy difícil de leerlo pero no imposible, ahora compilarlo es otra cosa, aunque aún así alguien lo va a poder leer, como "Assembler" y C++

Un saludo,

Existe un script llamado eaccelerator se puede encontrar en(www)eaccelerator(.)com, esta misma se encuentra viene con el paquete instalador Xampp 1.5.0 que se encuentra en (www)apachefriends(.)com. Este script permite codifica el código php de tal manera que no se pueda leer. Quisiera saber si existe algo que cumpla con la misma función pero merjo.

Hola, yo estoy buscando tambien una forma de encriptar el password de login y del registro para poder usar la misma base de datos de usuarios de mi foro phpBB. EL caso es que el phpBB encripta las contraseñas mediante md5 cuando te logueas y cuando te registrás pero creo que tiene que aver alguna manera de encriptarlo y desencriptarlo para poder usarlo en mi página como ejemplo...
Saludos.

en ese caso, para desencriptarlo, está base64_encode y base64_decode

ej:

$codificado = base64_encode("Hola, soy una cadena encriptada");
echo $codificado;

te dará...

SG9sYSwgc295IHVuYSBjYWRlbmEgZW5jcmlwdGFkYQ==

----

$decodificado = base64_decode($codificado);

echo $decodificado;

te dará...

Hola, soy una cadena encriptada

nos vemos y espero te sirva :P

también existe... crypt(), pero este es dinámico por decirlo así... cambia, osea, tú encriptas algo con crypt, refrescas la página y cambiará la encriptación...

Pruebalos y busca en php.net :) nos vemos

Un comentario .. "base64" es un sistema de "codificacación" no un algorítmo de encriptación .. pues no hay "semilla" para realizar el proceso y usando la función inversa la "decodificas" sencillamente.

No sé si los términos que empleo son "semanticamente" correctos .. pero el caso es que si tienes una cadena X "supuestamente" encriptada .. y uno quiere "probar" si está "codificada" en base64 .. tan sólo deben aplicar dicha función .. por ende no es un sistema "seguro" ...

Un saludo,

Turck MMCache es un codificador, optimizador y acelerador para PHP, open source, equivalente al ZEND.

turck-mmcache.sourceforge.net

Hola a todos

No entiendo a fondo mucho de esto, pero preocupado por la seguridad de un cms, leí que si un archivo *.php esta ofuscado al querer aprovechar una bulnerabilidad en él se hace imposible ya que la injección sql o el exploit no encontrarán las cosas ordenadas y con sus nombres originales...

Es cierto?... entonces: Aumenta la seguridad ofuscando los archivos?.

Gracias de antemano. Saludos. (espero haberme explicado bien y utilizado las palabras correctas)

leí que si un archivo *.php esta ofuscado al querer aprovechar una bulnerabilidad en él se hace imposible ya que la injección sql o el exploit no encontrarán las cosas ordenadas y con sus nombres originales...

(Me gustaría ver la fuente oficial de ese artículo) .. En principio no tiene nada que ver el hecho de "ofuscar": complicar la lectura del código para un "humano" que otros problemas própios de nuestra programación como el "SQL injection" y otro tipo de errores en la programación similares.

"Ofuscar" como ya se ha comentado en este mismo tema .. se trata de "ponerte dificil" la lectura del código: juntando todo el código en una línea .. sustituyendo nombres de variables originales por nombres ilegibles y dificiles de seguir el código .. etc.

Ofuscar código o incluso "psudo-compilarlo" (como hacen los Motores descritos como Zend Safeguard, PHP encoder .. etc. NO aumentan la seguridad de tu aplicación. Si está "mal programada" será igual de insegura sea como sea que lo ejecutas.

Si a "seguridad" cuando usas algún ofuscador o similar te refieres a que "al no ver su código fuente legible" vas a ver más fácilmente algunos errores de programación .. OK .. por supuesto que no lo vas a ver así de facil .. Pero las "pruebas" de seguridad justamente no pasan por "ver su código" sino por ejecutar ciertas pruebas para ver como responde tu código: injectar SQL en un campo de tu aplicación (formulario) que pidas datos .. alterando el URL .. etc .. etc.

Un saludo,

Duda aclarada, excelente tu explicación, gracias.

Para quienes no entienden porque codificar un codigo PHP si es que no se ve en el browser piensen asi:

Yo hago una aplicacion que vale en horas 800 euros, pero de pronto no lo pueden pagar y tengo la posibilidad de venderlo 4 veces entonces lo cobro 300 euros :), es mi trabajo, es mi inversion son mis ideas, son mis horas de trabajo, mis estudios, y de ello vivo, pero use una estrategia comercial y rentabilice ganando 1200 euros ok ??

Bien, mi cliente que tenia el sitio www.micliente.com conoce a otro amigo del mismo rubro y este le pregunta, conoces algun programador que me haga un sitio como el tuyo ?, y le contesta si, el mio, y cuesta 300 euros. Pero te lo vendo por 100 :) asi desquito

jeje se entendio el ejemplo ??

Agregale ahora que lo venda varias veces ;) o que como tu cobras 300 y el tiene un primo de un amigo que esta estudiando y rencien comienza por 50 se lo duplica cuantas veces quiera.

Como comenta Cluster, yo he usado

Zend Safeguard
http://www.zend.com/products/zend_safeguard

y tiene la ventaja de que es soportado en casi todos los hosting ya que requiere de una parte que entienda eso antes de interpretar el PHP y eso va en el server.

Encontré una herramienta llamada eAccelerator, es la versión actualizada de Turck MMCache, viene para instalar en Linux o Windows; también esta en la última versión de Xampp.
Espero que la información pueda servir.

mmm y lo que viene con Xampp no es el Zend Optimizer 3.3 ??

http://www.apachefriends.org/en/xampp-windows.html


The XAMPP 1.6.3a is available!
We've released a new version of XAMPP, including:

• Apache HTTPD 2.2.4 + Openssl 0.9.8e
• MySQL 5.0.45
• PHP 5.2.3
• PHP 4.4.7
• phpMyAdmin 2.10.3
• Zend Optimizer 3.3.0
• 1.6.3 Patch

aunque en su versión linux creo le llaman así :P

El Zend Optimizer es lo que se necesita instalar en el servidor WEB para correr archivos pre-compilados con el Zend Safeguard.


El Optimizer trae algo llamado Zend Encoder, esto es lo que permite la ejecución de archivos precompilados, de hecho, hay una directiva para deshabilitar esta opción, lo que ahorra recursos si es que no se va a usar esta funcionalidad en el servidor.


Personalmente, me inclino por el Zend Optimizer, ya que Zend es la empresa encargada del desarrollo del motor de ejecución de PHP y como bien dijo elquique es soportado por la mayoría de los servidores web....


Saludos.