[讨论]欢迎高手来PK：php程序的后门与反后门问题...

zyme

:em11:以下讨论，都是针对被zend...eacc...mmcache之类的加密后的php的....

我昨天突然想到一个，PHP程序上，很有价值的一个问题，就是：
我使用了被zend后之类的php程序，
如何防止原作者在里面有留后门？

1、简单方案：防止手动指定GET参数和POST方法，这个可以用apache实现，就像防盗链一样。
2、进阶方案：用php在应用层上控制不是最好的，因为http访问是无状态的，所以，应该在客户机与服务端的session中做文章。于是，嘿嘿append上场
3、高级方案：session也是可以被程序恶意作者加以处理，恶意作者也可以在程序中实现自动触发，比如：book_id=1到99都没事，到100它就删除数据库，惨，所以，php的预编译，动作监视，等等上场....
4、完美方案：以上，都是魔高道高的无聊对抗升级...所以，还是联系php老家，叫他们把safe_mode升级到更高层次...

具体怎么做，我已经做了1、2种方案(有人回就播出)，第3种正在构架，第4种请e文好的人，联系一下php的老家吧...

夜猫子

你娃就是一天喜欢想这些稀奇古怪的东西，其实你的这个担心早就已经有人做出解决方案了，这个解决方案就是：开放源代码，不给我源代码，我就不用你的东西。
你的这个担心只有开放源代码才能真正解决，不然就是简单的做下手脚，拿到你的admin密码，再走正门进来，这简直是太简单了，结果就是你用于防范的成本大大高于做手脚的成本（关键是还不一定有效），这是一种不对称的对抗。

PS： BS骗贴行为！

zyme

嘿嘿，我喜欢，要擅于用工具改造世界...

HonestQiao

使用他人的程序，这些似乎是不可避免的事情。

从程序的外部，无法区分程序内部的哪些操作是安全的。

除非程序本身进行了设计。

或者程序用你的接口。

james.liu

如果该程序原作者将明感数据通过某个固定链接将数据传出去呢？


感觉楼主的问题没有多大实际意义。理由见夜猫子的回帖

zyme

唉，讨厌的zend

alinker

原帖由 zyme 于 2006-5-8 10:41 发表
嘿嘿，我喜欢，要擅于用工具改造世界...

科技因有你这样的创意人士才会进步~
支持！

any strange idea is wonderful idea!

scriptkidz

这里插如的后门楼主指的什么呢？

scriptkidz

1、简单方案：防止手动指定GET参数和POST方法，这个可以用apache实现，就像防盗链一样。
这点不明白，对ＡＰ不很熟，禁止get＆post吗？不会的，那就过滤参数？感觉没什么用的，用apache怎么实现请指点下～
如果代码是一句include那怎么防呢？

xuzuning

呵呵！如果后门就象这样被堵住了，那叫后门吗？？？