Como proteger arquivos de código-fonte do PHP em um servidor público

A menos que o atacante esteja explicitamente em seu servidor, você não precisa se preocupar com seu código PHP porque qualquer servidor web que você estiver usando analisará e executará o código PHP anteriormente para enviá-lo para fora, então um invasor não saberá o código sendo executado.

No entanto, se você estiver preocupado com os dados que podem ser transferidos entre seu servidor e um cliente, recomendamos usar SSL/TLS para criptografar dados entre seu servidor e seus clientes. Isso deve ser seguro o suficiente para que você servidor ficará seguro.

Há uma variedade de ferramentas ofuscação que fazem com que o código-fonte seja difícil de entender e ainda tenha a mesma funcionalidade exata. [Eu faço um desses; veja minha biografia].

Usando qualquer um deles, você pode trabalhar na forma original de texto sem formatação da sua fonte em seu site de desenvolvimento. Você pode ofuscar o texto não criptografado para produzir a versão protegida que é então implantada. Isso significa que as pessoas com acesso ilimitado ao servidor implantado só veem o texto ofuscado, o que torna o código muito difícil de entender.

Naturalmente, você deve testar a versão ofuscada em seu site de desenvolvimento antes de implantá-la, para garantir que o ofuscador não quebre alguma coisa (ou, mais provavelmente, que você tenha configurado incorretamente o ofuscador).

Não é ideal; oponentes determinados com esforço suficiente provavelmente podem fazer engenharia reversa do seu código. Geralmente é o suficiente para desencorajá-los e isso é tudo que você precisa.

Em relação aos encriptadores : são uma péssima ideia, porque incluem a lógica para descriptografar o código fonte. Então, se você implantar versões criptografadas de seu código, seu oponente poderá usar o decrypter que você também deve fornecer para chegar ao texto claro do seu programa de forma bastante trivial.