PHP利用Opcache实现保护源码的示例详解
<div id="navCategory"><h5 class="catalogue">目录</h5><ul class="first_class_ul"><li><a href="#_label0">要求</a></li><li><a href="#_label1">具体步骤</a></li><li><a href="#_label2">额外收获</a></li></ul></div><p class="maodian"><a name="_label0"></a></p><h2>要求</h2><ul><li>不用 IonCube(或类似的)。不知道这是啥的话,就是加密 PHP 代码但还能运行的工具。问题是太贵了。</li><li>性能要好,PHP 原生支持。</li></ul>
<p>后来想到,PHP 有个"opcache"功能,能把源码编译成操作码(机器语言)在 Zend VM 上跑,跟 Java 差不多 😃 厉害的是,这样既保护了代码,又提升了性能!</p>
<p>开始干活。要让这套方案跑起来,得把代码打包成镜像(就是个只读的存储,跟系统其他部分隔离开),因为 opcache 是全局生效的,不管哪个 PHP 项目。最好的工具就是 Docker。(Docker 比虚拟机轻量多了,分发部署都很方便)。</p>
<p>这次用 Laravel 做例子。为啥选它?因为组件多,依赖库也多,能遇到各种坑,学到的东西也多。</p>
<p style="text-align:center"><img alt="" src="https://img.jbzj.com/file_images/article/202509/202591890209548.png" /></p>
<p>一般来说,我们的核心代码都在 <code>/app</code> 目录里,这部分需要保护。其他目录像 <code>/vendor</code> 都是开源库,不用管。</p>
<p class="maodian"><a name="_label1"></a></p><h2>具体步骤</h2>
<p><strong>第一步</strong>,在项目根目录建个 <code>warm-opcache.php</code> 文件。这玩意儿会调用 <code>opcache_compile_file()</code> 手动让 PHP 编译代码。</p>
<div class="jb51code"><pre class="brush:php;"><?php
$directory = new RecursiveDirectoryIterator('/var/www/app'); # 我们用 /var/www
$iterator = new RecursiveIteratorIterator($directory);
foreach ($iterator as $file) {
if (pathinfo($file, PATHINFO_EXTENSION) === 'php') {
echo "编译中: {$file}\n";
opcache_compile_file($file);
}
}
</pre></div>
<p><strong>第二步</strong>,建个 <code>empty-preserve-time.sh</code> 脚本(记得 <code>chmod +x</code> 给执行权限)。这个脚本会把 PHP 文件内容清空,但保留时间戳。为啥要保留时间戳?因为文件修改时间一变,opcache 就会重新加载。</p>
<div class="jb51code"><pre class="brush:bash;">#!/bin/bash
for file in $(find ./app -type f -name "*.php"); do
timestamp=$(stat -c %Y "$file")# 获取修改时间(从纪元开始的秒数)
: > "$file" # 清空文件
touch -d "@$timestamp" "$file" # 恢复原始时间戳
done
</pre></div>
<p><strong>第三步</strong>,把 <code>zz-opcache.ini</code> 配置文件放到 <code>/usr/local/etc/php/conf.d</code> 目录(或者你系统的 conf.d 在哪就放哪)。(记得先装好 PHP 的 opcache 扩展)</p>
<div class="jb51code"><pre class="brush:asm;">opcache.enable=1
opcache.enable_cli=1
opcache.validate_timestamps=1
opcache.revalidate_freq=10
opcache.file_cache=/var/www/.opcache
opcache.file_cache_only=1
</pre></div>
<p><strong>重要:先把代码 commit 或者备份!下面的操作会删除文件内容!</strong></p>
<p>接下来就是见证奇迹的时刻了。先跑 <code>php warm-opcache.php</code>,再跑 <code>empty-preserve-time.sh</code>,文件内容会被清空,但 <code>/app</code> 目录结构还在,Laravel 项目照样能跑。不信你试试!</p>
<p>这套方法对任何 PHP 项目都管用,不管你用 PSR-4 还是简单的 <code>require()</code>。Laravel 用的是 PSR-4。</p>
<p>不错,概念验证成功。下一步就是打包,要能分发到客户的服务器上。(就像 Go 能编译成 .exe 一样)</p>
<p><strong>直接上 Dockerfile</strong>。(这个 Dockerfile 没做层优化,主要是为了好理解)</p>
<div class="jb51code"><pre class="brush:asm;">FROM php:8.3-fpm-alpine # 根据需要修改
# 添加更多 pecl install 或 docker-php-ext-install
# 来安装项目需要的扩展
# 启用 opcache
RUN docker-php-ext-install opcache
WORKDIR /var/www
RUN mkdir -p /var/www/.opcache
# 复制源码
COPY app ./app
COPY artisan ./artisan
COPY bootstrap ./bootstrap
COPY database ./database
COPY config ./config
COPY public ./public
COPY resources ./resources
COPY routes ./routes
COPY storage ./storage
COPY composer.* .
# 安装 ini 文件
COPY zz-opcache.ini /usr/local/etc/php/conf.d
# Laravel 的 composer install 需要 .env
# 我们复制一个假的 .env
COPY .env.example .env
# 安装 PHP 依赖(不要把这行移到上面)
RUN composer install --no-dev --optimize-autoloader
# 编译并删除 /app 中的源码
RUN php warm-opcache.php
RUN ./empty-preserve-time.sh
# 恭喜!你的代码已经被清除了!
# 如果不信,你可以 `ls` 你的 /app 目录并 `cat` 它
# 如果需要,你可以创建一个 ENTRYPOINT 脚本,也可以执行
# ./artisan queue:work, 或 ./artisan schedule:work
CMD ["./artisan serve"]
</pre></div>
<p>现在,你可以 <code>docker build</code> 并 <code>docker push</code> 到你的注册服务器,然后从客户的本地服务器 <code>pull</code>,而不用裸露地交付代码!当你有更新时,简单的 <code>docker pull</code> 就能节省很多时间!</p>
<p>可能有人会问,我们能删除 <code>/app</code> 目录而不是留空吗?<strong>不行</strong>。因为"opcache"会检查文件是否存在。</p>
<p class="maodian"><a name="_label2"></a></p><h2>额外收获</h2>
<p>上面的 Dockerfile 不安全。为什么?因为 Docker 在每个阶段都使用层,意味着当你 <code>COPY app ./app</code> 时,它实际上复制了你未保护的代码,并创建了一个层。Docker 专家可以轻松解开这些层,获取你的原始代码。</p>
<p>解决方案是使用多阶段构建。这是修订后的 Dockerfile。注意我们在第 1 行添加了 <code>as build</code>。</p>
<div class="jb51code"><pre class="brush:asm;">FROM php:8.3-fpm-alpine as build # 根据需要修改
# 添加更多 pecl install 或 docker-php-ext-install
# 来安装项目需要的扩展
# 启用 opcache
RUN docker-php-ext-install opcache
WORKDIR /var/www
RUN mkdir -p /var/www/.opcache
# 复制源码
COPY app ./app
COPY artisan ./artisan
COPY bootstrap ./bootstrap
COPY database ./database
COPY config ./config
COPY public ./public
COPY resources ./resources
COPY routes ./routes
COPY storage ./storage
COPY composer.* .
# 安装 ini 文件
COPY zz-opcache.ini /usr/local/etc/php/conf.d
# Laravel 的 composer install 需要 .env
# 我们复制一个假的 .env
COPY .env.example .env
# 安装 PHP 依赖(不要把这行移到上面)
RUN composer install --no-dev --optimize-autoloader
# 编译并删除 /app 中的源码
RUN php warm-opcache.php
RUN ./empty-preserve-time.sh
# 恭喜!你的代码已经被清除了!
# 如果不信,你可以 `ls` 你的 /app 目录并 `cat` 它
# ======== 这里是多阶段层构建 ===========
FROM php:8.3-fpm-alpine # 根据需要修改
WORKDIR /var/www
# (重复上面完全相同的步骤)
# 添加更多 pecl install 或 docker-php-ext-install
# 来安装项目需要的扩展
# 启用 opcache
RUN docker-php-ext-install opcache
# 安装 ini 文件
COPY zz-opcache.ini /usr/local/etc/php/conf.d
# 从 `build` 复制清空的文件和 opcache 代码到这里
COPY --from=build /var/www .
# 如果需要,你可以创建一个 ENTRYPOINT 脚本,也可以执行
# ./artisan queue:work, 或 ./artisan schedule:work
CMD ["./artisan serve"]
</pre></div>
頁:
[1]