在纯PHP下,我们可以使用像ioncube / else这样的东西进行混淆。 在pre-HHVM下,我们可以使用已编译的代码而无需源代码。 但是根据目前的HHVM,我们可以隐藏我们的来源吗?
答案 0 :(得分:3)
@paulbliss:
你可以编译一个字节码存储库并运行它,但事实并非如此 逆向工程很难的东西。 ......没有 有关建筑回购的任何优秀文件。包装脚本 tools / hhvm_wrapper.php有一些有用的快捷方式,你可以看一下 帮助选项。混淆真的没有很好的选择,但是 repo-authoritative可能是你最好的选择,因为它会做一些 优化在字节码之上。
@see https://github.com/facebook/hhvm/issues/4929#issuecomment-76751039
hhvm及其服务器的Ini设置:https://github.com/facebook/hhvm/wiki/INI-Settings
完整的shell,用于编译,删除源并从优化的仓库运行:https://gist.github.com/garex/b0fa539903746e67ad6c
因此,作为一种解决方法,您可以在root用户下编译源代码,但在www-data下运行hh server。因此,即使攻击者会通过网络突破你 - 它也不会在那里看到来源。