Como prevenir roubo de código fonte através de PHP Wrappers (PHP)

fabiopires1011

Power Member
Tenho uma aplicação que contém um ficheiro chamado setupreset com o SQL para a construção da base de dados.
O meu problema é que usando um PHP Wrapper assim:

http://192.168.1.123/index.php?page=php://filter/convert.base64-encode/resource=setupreset

É possível ver o código fonte convertido para base64. Penso que isto é um problema porque um hacker poderia descodificar o base64 e ver o código fonte.
Como é que posso prevenir isto?
Estou a pensar numa pequena validação para o valor de page, mas isto seria suficiente?
Que outras medidas posso tomar?
 

Kayvlim

Moderating From /home
Staff
Não estou a perceber nem o problema que estás a tentar resolver, nem a solução que arranjaste.

Uma coisa posso dizer: se passa pelo cliente código que vai correr no servidor, vai dar asneira. Não podes confiar em nada que venha de um cliente.

Existem estratégias para autenticar que aquilo que vem do cliente é algo que tu controlas, como o recurso a HMACs, mas isso exige que saibas bem o que estás a fazer, percebas o suficiente para fazeres uma análise de risco (porque nenhum sistema é absolutamente seguro, e tens de estar preparado para lidar com as consequências de ele falhar), e em geral está a parecer-me overkill.

Provavelmente existe outra forma de resolver esse problema. Queres dar mais detalhes? Em particular, começar por explicar qual é a necessidade de passares para um cliente código que corre no servidor.
 
Topo