Zabezpieczenie skryptu - dyskusja Opcje

[Fifi209]

Zastanawia mnie od pewnego czasu jakie zabezpieczenia ma np. forum vBulletin kiedyś mieli opcje wykupienia licencji na np. rok i tutaj pytanie jak po roku zablokować dostęp użytkownikowi i przypomnieć mu, że musi zakupić nową (o ile dalej chce korzystać) ?

Myślałem nad rozwiązaniem i wpadło mi coś takiego do głowy:

Klient kupuje licencje ode mnie na powiedzmy rok, po zakupie trzeba go zarejestrować on podaje nazwę użytkownika, hasło i adres e-mail a ja mu po rejestracji podaję webkey.

W skrypcie, który On dostanie powiedzmy jest coś takiego:

[PHP] index.php - pobierz, plaintext 
<?php
// to u użytkownika
 
	$user = 'fifi209';
	$password = 'haselko';
	$webkey = '4e80787acff8c3136e69e4a36ae3dd0s';
 
	$handle = fopen('http://domena/'.urlencode(strtolower($user)).'/'.urlencode(md5($password)).'/'.urlencode($webkey).'/', 'r');
	$status = fgets($handle, 2);
 
	if ($status == 0) {
		exit();
	}
 
	echo 'Ok';
 
	fclose($handle);
 
 
?>
[PHP] index.php - pobierz, plaintext 

.htaccess

Kod

RewriteEngine On
RewriteRule ^([a-z0-9]+)/([a-z0-9]+)/([a-zA-Z0-9]+)/$ access.php?user=$1&pass=$2&webkey=$3 [L]

[PHP] access.php - pobierz, plaintext 
// to u mnie na serwie
<?php
 
	$mysql = mysql_connect('localhost', 'fifi', '');
	mysql_select_db('testy', $mysql);
 
	$sql = 'SELECT `time` FROM `users` WHERE `name` = "'.$_GET['user'].'" AND `password` = "'.$_GET['pass'].'" AND `webkey` = "'.$_GET['webkey'].'" LIMIT 1';
 
	$select = mysql_fetch_assoc(mysql_query($sql));
 
	if ($select['time'] > time()) {
		echo 1;
	}else{
		echo 0;
	}
 
 
?>
[PHP] access.php - pobierz, plaintext 

I baza:

[SQL] pobierz, plaintext 
CREATE TABLE `users` (
  `id` int(10) UNSIGNED NOT NULL AUTO_INCREMENT,
  `name` varchar(40) collate utf8_polish_ci NOT NULL,
  `password` varchar(45) collate utf8_polish_ci NOT NULL,
  `mail` varchar(55) collate utf8_polish_ci NOT NULL,
  `webkey` varchar(45) collate utf8_polish_ci NOT NULL,
  `time` int(10) UNSIGNED NOT NULL,
  PRIMARY KEY  (`id`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8 COLLATE=utf8_polish_ci AUTO_INCREMENT=0 ;
[SQL] pobierz, plaintext 

Hmm, część która sprawdza status byłaby oczywiście jakoś zakodowana.

[marcio]

Ja wymyslilem kiedys cos innego fakt nie zaimplementowalem ale kolega korzysta i dziala.
W instalatorze kodu lub ogolnie przy pierwszym wywolaniu kodu wysylasz do twojej glownej aplikacji adres www strony ktora go uruchomila a w twojej bazie oczywiscie masz podstawowe dane klienta i za pomoca takiego zapytania:

[SQL] pobierz, plaintext 
SELECT www,expire FROM clients WHERE www = "www.jakas-strona.pl" LIMIT 1
[SQL] pobierz, plaintext 

Po czym w bazie mamy adres strony klienta i date jej pierwszego uruchomienia bez dev'a.
Daje nam to 2 mozliwosci.
1.Sprawdzanie za ile licencja sie konczy jesli ty nie dajesz ja na stale tylko na np: 1 rok
2.Czy dany klient nie sprzedal np twojego oprogramowania/licencji komus innemu widac to po stronie www jeden klient = strona www a nie klient = n stron www.
Cos takiego kiedys wymyslilem, dokladnie teraz nie pomietam bo nigdzie tego nie rozpisalem ale teraz mniej wiecej bym to tak zrobil, tym bardziej ze jak nie zakodujesz kodu tym cube czy jak mu tam bylo to taki klient latwo moze sie skapowac ze $user,$password,$webkey sluza do kontroli a jak np napisz klase ktora co 1 miesiac albo 1 tydzien bedzie sprawdzala waznosci itp nikt sie nie skapnie bo przewaznie klient = laik.

[Puciek]

Nie zabezpieczaj.

Ktos kto chce zlamac, zrobi to. Zamiast tego zaoferuj dosc bonusowych featerow zeby oplacalo sie miec wersje legalna.

[bełdzio]

W skrypcie, który On dostanie powiedzmy jest coś takiego:

czyli usuwamy ten kawałek kodu i już mamy wersję bez limitu czasowego. ionCube z tego co kojarzę pozwala określić licencję czasową