停止php-fpm(apache同理):
sudo /png/php/7.0.0/png_fpm stop
創建opcode緩存目錄:
mkdir -m 777 /png/php/opcache_file_cache
在php.ini中配置:
zend_extension=/png/php/7.0.0/lib/php/extensions/no-debug-non-zts-20151012/opcache.so opcache.memory_consumption=128 opcache.interned_strings_buffer=8 opcache.max_accelerated_files=4000 ;關閉PHP文档時間戳驗证 opcache.validate_timestamps=Off ;每60秒驗证php文档時間戳是否更新 ;opcache.revalidate_freq=60 opcache.fast_shutdown=1 ;注意,PHP7下命令行執行的腳本也會被 opcache.file_cache 緩存. opcache.enable_cli=1 ;設置不緩存的黑名單 ;opcache.blacklist_filename=/png/php/opcache_blacklist opcache.file_cache=/png/php/opcache_file_cache opcache.file_cache_only=1 opcache.enable=On
備份原來項目(以phpMyAdmin爲例):
cp -R /png/www/example.com/public_html/app/pma /png/www/example.com/public_html/app/pma.bak
執行opcache_compile_file.php導出PHP腳本對應的opcode:
sudo /png/php/7.0.0/bin/php /png/www/example.com/public_html/app/opcache_compile_file.php
opcache_compile_file.php 内容如下:
<?php
function getfiles( $path , &$files = array() ) {
if ( !is_dir( $path ) ) return null;
$handle = opendir( $path );
while ( false !== ( $file = readdir( $handle ) ) ) {
if ( $file != '.' && $file != '..' ) {
$path2 = $path . '/' . $file;
if ( is_dir( $path2 ) ) {
getfiles( $path2 , $files );
} else {
if ( preg_match( '%\.php$%' , $file ) ) {
$files[] = $path2;
}
}
}
}
return $files;
}
// 獲取指定目錄及其子目錄下的所有PHP文档
$files = getfiles('/png/www/example.com/public_html/app/pma');
foreach($files as $file){
opcache_compile_file($file); //編譯PHP文档生成opcode
file_put_contents($file, ''); //清空原來的PHP腳本
echo $file."\n";
}
echo 'Total PHP Files: '.count($files)."\n";或者使用PHP的SPL庫裡提供的遞歸目錄疊代器RecursiveDirectoryIterator實現遞歸編譯PHP:
<?php
opcache_compile_files('/png/www/example.com/public_html/app/pma');
function opcache_compile_files($dir) {
foreach(new RecursiveIteratorIterator(new RecursiveDirectoryIterator($dir)) as $v) {
if(!$v->isDir() && preg_match('%\.php$%', $v->getRealPath())) {
opcache_compile_file($v->getRealPath());
echo $v->getRealPath()."\n";
}
}
}把緩存目錄所有者設爲php-fpm運行用戶,我這裡是png:
sudo chown -R png:png /png/php/opcache_file_cache/
啓動php-fpm:
sudo /png/php/7.0.0/png_fpm start
訪問phpMyAdmin:
http://www.example.com/app/pma/
phpMyAdmin的PHP文档一一對應的opcode(後綴爲.php.bin)生成在:
/png/php/opcache_file_cache/xxx/png/www/example.com/public_html/app/pma
其中xxx是一個32位的md5編碼的字符串.
部署到目標服務器的時候,需要保留項目中内容被清空的PHP腳本.
而且路徑一定要對應導出opcode時的路徑,文中的就是:
/png/www/example.com/public_html/app/pma
後話:
opcache.file_cache是PHP7對hhvm.repo.central.path的反擊,鳥哥威武!
opcache.file_cache對比PHP5時代APC的apc_bin_dumpfile和apc_bin_loadfile來說,
導出和導入操作都由opcache完成,顯然ZendOpcache比APC更加自動化.
那個md5串由 PHP_VERSION / ZEND_EXTENSION_BUILD_ID / ZEND_BIN_ID 確定:
php-src/ext/opcache/zend_file_cache.c: zend_file_cache_get_bin_file_path ZCG(system_id)
php-src/ext/opcache/ZendAccelerator.c: accel_gen_system_id ZCG(system_id)
#define ZEND_EXTENSION_BUILD_ID "API" ZEND_TOSTR(ZEND_EXTENSION_API_NO) ZEND_BUILD_TS ZEND_BUILD_DEBUG ZEND_BUILD_SYSTEM ZEND_BUILD_EXTRA
#define ZEND_BIN_ID "BIN_" ZEND_TOSTR(SIZEOF_CHAR) ZEND_TOSTR(SIZEOF_INT) ZEND_TOSTR(SIZEOF_LONG) ZEND_TOSTR(SIZEOF_SIZE_T) ZEND_TOSTR(SIZEOF_ZEND_LONG) ZEND_TOSTR(ZEND_MM_ALIGNMENT)
因爲Ubuntu上編譯的PHP7,打包依賴庫後放到CentOS上運行,這個md5串是相同的.
可以肯定的是,Linux上導出的opcode不能放到Windows上運行,反之也是如此.
Beast加密過的PHP文档,也一樣能看到PHP文档對應的opcode,
因爲Beast解密後,還是一樣需要調用zend_compile_file生成頁面的opcode,
而opcode是可以用VLD(Vulcan Logic Disassembler)這類PECL擴展查看的.
php -dvld.active=1 -S 127.0.0.1:8080
curl http://127.0.0.1:8080/
也就是說,PHP腳本加密能夠避免腳本被惡意篡改,但腳本裡的數據仍然是可見的.
所以,文中的opcache.file_cache用來保護代碼邏輯應該還是可以的,
但不能確保裡面定義的量的安全,比如加密密鈅.存也可以,但防君子不防小人,門檻高點而已.
Zend Guard和ionCube加密的PHP腳本可以用DeZender/De-ionCube解密:
http://dezender.net/
Java字節碼和Android APK可以用Java Decompiler反編譯:
http://jd.benow.ca/
Python腳本可以編譯成pyc文档,不過pyc文档也很容易被反編譯.
所以包括opcache.file_cache這樣的代碼保護,也只能防君子不防小人.
