Php Pdo ile yazdığım basit script için Güvenlik İhtiyacı.

Her yöntem kırılır. ionCube (tüm versiyonları, en son sürüm dahil.), phpBolt, Shadow; bunların hepsi ve ismini saymadıklarım hepsi kırılır.

Sunucu taraflı şifreleme bir hayaldir. Asla kırılamaz yapılamaz.

Ama ne yapılabilir? Uğraştırılabilir. Bu sebeple ana akım şifreleme yöntemlerini değil de; github'da kenarda köşede kalmış performanslı kod karıştırma, şifreleme yöntemleri kullanmalısınız.

Çünkü bunların hiçbir yerde yazılmış otomatik çözücüsü yoktur, henüz duyulan bir şifreleme algoritması değildir çünkü.

Şifrelemede amacınız asla kırılmaması değil; birisi bunu kafaya takıp kırdırmak istiyorsa ona maksimum parayı, zamanı harcatmanızdır.

Alan adı lisanslı bir ürün satışı yapmak istiyorsunuz anladığım kadarıyla. Müşterinizle bu konuyu oturup konuştuysanız yani satış başı anlaştıysanız yapmanız gereken şu. Bir fonksiyon dosyanız vardır illaki admin işlemleri için bu fonksiyon dosyasına aşağıdaki php kodlarını ekleyip gerekli yerleri düzenleyin. Sonrasında bu dosyayı ioncube ile şifreleyip sunucuya yükleyin. Alan adı lisansını bu şekilde yapmış oluyorsunuz. İoncubenın çalışması için hostingin desteklemesi gerekiyor. Günümüzde ioncube desteklemeyen hosting varsa zaten kullanmayın. Şifrele için dilerseniz yardımcı olurum makul bir ücrete.

if (substr($_SERVER['HTTP_HOST'], 0, 4) == "www.") {
$www = "www.";
$_ALANADI = $_SERVER['HTTP_HOST'];
} else {
$www = "";
$_ALANADI = $_SERVER['HTTP_HOST'];
}

$_LISANSLISITE = $www."siteadresi.com";

if($_ALANADI!==$_LISANSLISITE){
echo "Lisanssız Kullanım: ".$_ALANADI." <br> Unlicensed Usage ".$_ALANADI;
$_MAILGONDER = 'admin@admin.com';
$_MAILICERIK = "".$_LISANSLISITE." Lisanslı Scripti ".$_ALANADI." Tarafından izinsiz kullanılmakta.";
mail($_MAILGONDER,$_ALANADI,"$_MAILICERIK","Script ***** olarak kullanılmaktadır.");
exit;
}

Bazı kafa karışıklıkları var gibi görünüyor. Öncelikle yazılımınızın nasıl kullanılacağını siz belirlersiniz. Bu da bir lisans sözleşmesiyle olur. Örneğin yazılımın dağıtma, değiştirme gibi tüm haklarını serbest bırakmak isterseniz MIT Lisansını kullanabilirsiniz. Veya ticari olarak kullanmasını engelleyecek lisanslar bulabilirsiniz. Lisans derken arkadaşların bahsettiği "domain lisansı" denilen aktivasyon koduyla falan karıştırılmasın. Bu hukuksal bir metindir. Alıcı parasını ödedikten sonra yazılımla sadece sizin sunduğunuz lisans metnindeki şekilde kullanabilir. Bu hukuksal bir metin olduğu gibi yaptırımı da hukuksaldır. Lisans sözleşmesine uyulmadığı takdirde dava açılabilir.

Kodu şifrelemek lisans sözleşmesinin kasti ihlalini engellemek için güvenlik arttırıcı bir çözümdür. Kod şifrelemeleri kesinlikle çözülebilir. Ancak güvenliği arttırır. Bu konuda @flyingatm; arkadaşın açıklaması gayet yeterli. Custom bir şifreleme algoritması da geliştirilebilir.

Bunun dışında önemli apiları siz sunarsanız ve bu apiların sadece belirli domainlerle kullanılmasına izin verirseniz bu sayede kullanıcı yazılımınızı izinsiz dağıtmaya kalksa dahi sadece sizin izin verdiğiniz domainler üzerinde çalışır. Üstelik bunun üzerine bir de ip sınırlaması getirirseniz bu oldukça güvenli olacaktır. Ip sınırlaması getirmemizin sebebi, bir sunucunun kendini size doğru domainden giriyormuş gibi göstererek başka domainlere bu veriyi paylaşmasını engellemek. Örneğin uygulamanızın frontend kısmını onlara teslim edip frontend kısmından kendisunucunuz.com/api/v1/kullanicilar gibi adreslere istek atarak gerekli işlemleri orada gerçekleştirip geri response verebilirsiniz.

Ancak burada dikkate alınması gereken nokta bu websitesine giren her ziyaretçi doğrudan size de istek atacak. Bunu karşılayabilecek güçte bir sunucuya ihtiyacınız olacak.

Günün sonunda basit bir script dediğiniz için bunlar biraz fazla mühendislik olarak kaçmakta. Bana kalırsa yazılımınızın başka sunucularda da kullanılmasından bu kadar korkmayın. Her domain için ayrı ücret talep etmek yerine ilk ücret talebinizi daha doğru ayarlayın. Kesinlikle bir lisans sözleşmesi yapın! Bu sözleşme en azından caydırıcı olacaktır.