自定义PHP扩展安全性

Question

我想创建一个PHP扩展来执行某些特定的晶体学功能。

1. 攻击者是否有可能反汇编（或以某种方式xdebug）扩展程序以了解其工作原理？
2. 攻击者能否找到扩展内部设置的常量或变量（对于inst。密码，盐等等）？

更新

这个想法是：

• 我想将一些数据存储在DB加密中，我还想确保每个用户都有自己的密码/盐，因此如果攻击者在访问控制中发现漏洞，则无法访问其他人的数据。
• 我可以用PHP加密。但如果有人获得了访问网络目录的权限，他就可以很容易地看到我是如何做到的......他可以在家中获取数据并解密。
• 我可以进行扩展。攻击者需要访问整个文件系统才能获得扩展。我可以仅限制服务器IP地址的扩展使用（因此攻击者无法轻易地从服务器中取出数据）。它不会更安全吗？还有其他方法可以做得更好吗？

Answer 1

  

攻击者是否有可能反汇编扩展程序以了解其工作原理

是。将代码退出是非常简单的。变量名称将被剥离（假设它是非调试版本），但是100％可以获得代码。

  

攻击者能否找到扩展内部设置的常量或变量（对于inst。密码，盐等等）？

是的，它们始终以纯文本形式存储在文件中。实际上，有一个unix命令strings可以为你提取它。

更好的解决方案是查看您尝试解决的问题，找出要防范的攻击媒介，然后减轻它们。任何一个都没有神奇的解决方案。