PHP信息保护安全性讨论

SATAND

议题：

有一个数据库，记录了加密的信息

只有一个密钥，由客户持有，每次检索输入一次，提交至php处理解密

假设该处理页面代码公开，不会将该密钥转存，并由代码内嵌的防火墙监控

假设客户至服务器的途径是安全的

那么，这个密钥会不会被获得？

可能：

通过内存取数——在php执行脚本的时候，从内存中获得——请帮忙讨论该过程的可能性

北京野狼

原帖由 "SATAND" 发表：
议题：

有一个数据库，记录了加密的信息

只有一个密钥，由客户持有，每次检索输入一次，提交至php处理解密

假设该处理页面代码公开，不会将该密钥转存，并由代码内嵌的防火墙监控

假设客户至服务器的途?.........

你的意思你就在服务器上？如果php程序是公开的，那解密算法不就公开了？

SATAND

解密算法用DES或者AES，这两种算法都不是基于算法保密的，而是基于密钥保密的

北京野狼

[quote]原帖由 "SATAND"]解密算法用DES或者AES，这两种算法都不是基于算法保密的，而是基于密钥保密的[/quote 发表：




我想他终究得输入密钥，apache什么都能知道。至少你要是改一下把他整个session都记录下来，
那他传上来的所有信息包括密钥你就都知道了。我是没改过apache

北京野狼

[quote]原帖由 "SATAND"]解密算法用DES或者AES，这两种算法都不是基于算法保密的，而是基于密钥保密的[/quote 发表：


其实有个更简单的办法。你有php代码。把代码改一下，
记录下用户的session和url变量到日志里面

你查下日志就知道、他的密钥了

SATAND

我的思路是，有一部服务器，要确保客户的安全
apache和php都用安全程序，不做任何后门，并有代码内嵌式防火墙监控，保证这些程序不被替换

只能增加进程来进行侧面的探测，通过第三方代码来获得需要的东西
问：我能不能从内存中把PHP脚本执行过程中用的变量读取出来

北京野狼

原帖由 "SATAND" 发表：
我的思路是，有一部服务器，要确保客户的安全
apache和php都用安全程序，不做任何后门，并有代码内嵌式防火墙监控，保证这些程序不被替换

只能增加进程来进行侧面的探测，通过第三方代码来获得需要的东西
问：?.........

理论上可以，但俺不会

HonestQiao

客户机上面如果有木马什么的呢〉？