PHP利用Opcache實(shí)現(xiàn)保護(hù)源碼的示例詳解

更新時(shí)間：2025年09月18日 09:04:14 作者：JaguarJack

這篇文章主要為大家詳細(xì)介紹了PHP如何利用Opcache實(shí)現(xiàn)保護(hù)源碼的相關(guān)知識(shí),文中的示例代碼講解詳細(xì),感興趣的小伙伴可以跟隨小編一起學(xué)習(xí)一下

要求

不用 IonCube（或類似的）。不知道這是啥的話，就是加密 PHP 代碼但還能運(yùn)行的工具。問題是太貴了。
性能要好，PHP 原生支持。

后來想到，PHP 有個(gè)"opcache"功能，能把源碼編譯成操作碼（機(jī)器語言）在 Zend VM 上跑，跟 Java 差不多 ?? 厲害的是，這樣既保護(hù)了代碼，又提升了性能！

開始干活。要讓這套方案跑起來，得把代碼打包成鏡像（就是個(gè)只讀的存儲(chǔ)，跟系統(tǒng)其他部分隔離開），因?yàn)?opcache 是全局生效的，不管哪個(gè) PHP 項(xiàng)目。最好的工具就是 Docker。（Docker 比虛擬機(jī)輕量多了，分發(fā)部署都很方便）。

這次用 Laravel 做例子。為啥選它？因?yàn)榻M件多，依賴庫也多，能遇到各種坑，學(xué)到的東西也多。

一般來說，我們的核心代碼都在 /app 目錄里，這部分需要保護(hù)。其他目錄像 /vendor 都是開源庫，不用管。

具體步驟

第一步，在項(xiàng)目根目錄建個(gè) warm-opcache.php 文件。這玩意兒會(huì)調(diào)用 opcache_compile_file() 手動(dòng)讓 PHP 編譯代碼。

<?php
$directory = new RecursiveDirectoryIterator('/var/www/app'); # 我們用 /var/www
$iterator = new RecursiveIteratorIterator($directory);

foreach ($iterator as $file) {
    if (pathinfo($file, PATHINFO_EXTENSION) === 'php') {
        echo "編譯中: {$file}\n";
        opcache_compile_file($file);
    }
}

第二步，建個(gè) empty-preserve-time.sh 腳本（記得 chmod +x 給執(zhí)行權(quán)限）。這個(gè)腳本會(huì)把 PHP 文件內(nèi)容清空，但保留時(shí)間戳。為啥要保留時(shí)間戳？因?yàn)槲募薷臅r(shí)間一變，opcache 就會(huì)重新加載。

#!/bin/bash

for file in $(find ./app -type f -name "*.php"); do
  timestamp=$(stat -c %Y "$file")  # 獲取修改時(shí)間（從紀(jì)元開始的秒數(shù)）
  : > "$file"                      # 清空文件
  touch -d "@$timestamp" "$file"   # 恢復(fù)原始時(shí)間戳
done

第三步，把 zz-opcache.ini 配置文件放到 /usr/local/etc/php/conf.d 目錄（或者你系統(tǒng)的 conf.d 在哪就放哪）。（記得先裝好 PHP 的 opcache 擴(kuò)展）

opcache.enable=1
opcache.enable_cli=1
opcache.validate_timestamps=1
opcache.revalidate_freq=10
opcache.file_cache=/var/www/.opcache
opcache.file_cache_only=1

重要：先把代碼 commit 或者備份！下面的操作會(huì)刪除文件內(nèi)容！

接下來就是見證奇跡的時(shí)刻了。先跑 php warm-opcache.php，再跑 empty-preserve-time.sh，文件內(nèi)容會(huì)被清空，但 /app 目錄結(jié)構(gòu)還在，Laravel 項(xiàng)目照樣能跑。不信你試試！

這套方法對(duì)任何 PHP 項(xiàng)目都管用，不管你用 PSR-4 還是簡(jiǎn)單的 require()。Laravel 用的是 PSR-4。

不錯(cuò)，概念驗(yàn)證成功。下一步就是打包，要能分發(fā)到客戶的服務(wù)器上。（就像 Go 能編譯成 .exe 一樣）

直接上 Dockerfile。（這個(gè) Dockerfile 沒做層優(yōu)化，主要是為了好理解）

FROM php:8.3-fpm-alpine # 根據(jù)需要修改

# 添加更多 pecl install 或 docker-php-ext-install
# 來安裝項(xiàng)目需要的擴(kuò)展

# 啟用 opcache
RUN docker-php-ext-install opcache

WORKDIR /var/www
RUN mkdir -p /var/www/.opcache

# 復(fù)制源碼
COPY app ./app
COPY artisan ./artisan
COPY bootstrap ./bootstrap
COPY database ./database
COPY config ./config
COPY public ./public
COPY resources ./resources
COPY routes ./routes
COPY storage ./storage
COPY composer.* .

# 安裝 ini 文件
COPY zz-opcache.ini /usr/local/etc/php/conf.d

# Laravel 的 composer install 需要 .env
# 我們復(fù)制一個(gè)假的 .env
COPY .env.example .env

# 安裝 PHP 依賴（不要把這行移到上面）
RUN composer install --no-dev --optimize-autoloader

# 編譯并刪除 /app 中的源碼
RUN php warm-opcache.php
RUN ./empty-preserve-time.sh

# 恭喜！你的代碼已經(jīng)被清除了！
# 如果不信，你可以 `ls` 你的 /app 目錄并 `cat` 它

# 如果需要，你可以創(chuàng)建一個(gè) ENTRYPOINT 腳本，也可以執(zhí)行
# ./artisan queue:work, 或 ./artisan schedule:work
CMD ["./artisan serve"]

現(xiàn)在，你可以 docker build 并 docker push 到你的注冊(cè)服務(wù)器，然后從客戶的本地服務(wù)器 pull，而不用裸露地交付代碼！當(dāng)你有更新時(shí)，簡(jiǎn)單的 docker pull 就能節(jié)省很多時(shí)間！

可能有人會(huì)問，我們能刪除 /app 目錄而不是留空嗎？不行。因?yàn)?quot;opcache"會(huì)檢查文件是否存在。

額外收獲

上面的 Dockerfile 不安全。為什么？因?yàn)?Docker 在每個(gè)階段都使用層，意味著當(dāng)你 COPY app ./app 時(shí)，它實(shí)際上復(fù)制了你未保護(hù)的代碼，并創(chuàng)建了一個(gè)層。Docker 專家可以輕松解開這些層，獲取你的原始代碼。

解決方案是使用多階段構(gòu)建。這是修訂后的 Dockerfile。注意我們?cè)诘?1 行添加了 as build。

FROM php:8.3-fpm-alpine as build # 根據(jù)需要修改

# 添加更多 pecl install 或 docker-php-ext-install
# 來安裝項(xiàng)目需要的擴(kuò)展

# 啟用 opcache
RUN docker-php-ext-install opcache

WORKDIR /var/www
RUN mkdir -p /var/www/.opcache

# 復(fù)制源碼
COPY app ./app
COPY artisan ./artisan
COPY bootstrap ./bootstrap
COPY database ./database
COPY config ./config
COPY public ./public
COPY resources ./resources
COPY routes ./routes
COPY storage ./storage
COPY composer.* .

# 安裝 ini 文件
COPY zz-opcache.ini /usr/local/etc/php/conf.d

# Laravel 的 composer install 需要 .env
# 我們復(fù)制一個(gè)假的 .env
COPY .env.example .env

# 安裝 PHP 依賴（不要把這行移到上面）
RUN composer install --no-dev --optimize-autoloader

# 編譯并刪除 /app 中的源碼
RUN php warm-opcache.php
RUN ./empty-preserve-time.sh

# 恭喜！你的代碼已經(jīng)被清除了！
# 如果不信，你可以 `ls` 你的 /app 目錄并 `cat` 它

# ======== 這里是多階段層構(gòu)建 ===========
FROM php:8.3-fpm-alpine # 根據(jù)需要修改

WORKDIR /var/www

# （重復(fù)上面完全相同的步驟）
# 添加更多 pecl install 或 docker-php-ext-install
# 來安裝項(xiàng)目需要的擴(kuò)展

# 啟用 opcache
RUN docker-php-ext-install opcache

# 安裝 ini 文件
COPY zz-opcache.ini /usr/local/etc/php/conf.d

# 從 `build` 復(fù)制清空的文件和 opcache 代碼到這里
COPY --from=build /var/www .

# 如果需要，你可以創(chuàng)建一個(gè) ENTRYPOINT 腳本，也可以執(zhí)行
# ./artisan queue:work, 或 ./artisan schedule:work
CMD ["./artisan serve"]

到此這篇關(guān)于PHP利用Opcache實(shí)現(xiàn)保護(hù)源碼的示例詳解的文章就介紹到這了,更多相關(guān)PHP Opcache保護(hù)源碼內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: