停止php-fpm(apache同理):

sudo /png/php/7.0.0/png_fpm stop

创建opcode缓存目录:

mkdir -m 777 /png/php/opcache_file_cache

在php.ini中配置:

zend_extension=/png/php/7.0.0/lib/php/extensions/no-debug-non-zts-20151012/opcache.so

opcache.memory_consumption=128

opcache.interned_strings_buffer=8

opcache.max_accelerated_files=4000

;opcache不保存注释,减少opcode大小

opcache.save_comments=0

;关闭PHP文件时间戳验证

opcache.validate_timestamps=Off

;每60秒验证php文件时间戳是否更新

;opcache.revalidate_freq=60

opcache.fast_shutdown=1

;注意,PHP7下命令行执行的脚本也会被 opcache.file_cache 缓存.

opcache.enable_cli=1

;设置不缓存的黑名单

;opcache.blacklist_filename=/png/php/opcache_blacklist

opcache.file_cache=/png/php/opcache_file_cache

opcache.file_cache_only=0

opcache.enable=On

备份原来项目(以phpMyAdmin为例):

cp -R /png/www/example.com/public_html/app/pma /png/www/example.com/public_html/app/pma.bak

执行opcache_compile_file.php导出PHP脚本对应的opcode:

sudo /png/php/7.0.0/bin/php /png/www/example.com/public_html/app/opcache_compile_file.php

opcache_compile_file.php 内容如下:

function getfiles( $path , &$files = array() ) {

if ( !is_dir( $path ) ) return null;

$handle = opendir( $path );

while ( false !== ( $file = readdir( $handle ) ) ) {

if ( $file != '.' && $file != '..' ) {

$path2 = $path . '/' . $file;

if ( is_dir( $path2 ) ) {

getfiles( $path2 , $files );

} else {

if ( preg_match( '%\.php$%' , $file ) ) {

$files[] = $path2;

}

}

}

}

return $files;

}

// 获取指定目录及其子目录下的所有PHP文件

$files = getfiles('/png/www/example.com/public_html/app/pma');

foreach($files as $file){

opcache_compile_file($file); //编译PHP文件生成opcode

file_put_contents($file, ''); //清空原来的PHP脚本

echo $file."\n";

}

echo 'Total PHP Files: '.count($files)."\n";

或者使用PHP的SPL库里提供的递归目录迭代器RecursiveDirectoryIterator实现递归编译PHP:

opcache_compile_files('/png/www/example.com/public_html/app/pma');

function opcache_compile_files($dir) {

foreach(new RecursiveIteratorIterator(new RecursiveDirectoryIterator($dir)) as $v) {

if(!$v->isDir() && preg_match('%\.php$%', $v->getRealPath())) {

opcache_compile_file($v->getRealPath());

echo $v->getRealPath()."\n";

}

}

}

把缓存目录所有者设为php-fpm运行用户,我这里是png:

sudo chown -R png:png /png/php/opcache_file_cache/

启动php-fpm:

sudo /png/php/7.0.0/png_fpm start

访问phpMyAdmin:

http://www.example.com/app/pma/

phpMyAdmin的PHP文件一一对应的opcode(后缀为.php.bin)生成在:

/png/php/opcache_file_cache/xxx/png/www/example.com/public_html/app/pma

其中xxx是一个32位的md5编码的字符串.

部署到目标服务器的时候,需要保留项目中内容被清空的PHP脚本.

而且路径一定要对应导出opcode时的路径,文中的就是:

/png/www/example.com/public_html/app/pma

另外,PHP还可以使用函数php_strip_whitespace()删除PHP源码中的注释和空格.

后话:

opcache.file_cache是PHP7对hhvm.repo.central.path的反击,鸟哥威武!

opcache.file_cache对比PHP5时代APC的apc_bin_dumpfile和apc_bin_loadfile来说,

导出和导入操作都由opcache完成,显然ZendOpcache比APC更加自动化.

那个md5串由 PHP_VERSION / ZEND_EXTENSION_BUILD_ID / ZEND_BIN_ID 确定:

php-src/ext/opcache/zend_file_cache.c: zend_file_cache_get_bin_file_path ZCG(system_id)

php-src/ext/opcache/ZendAccelerator.c: accel_gen_system_id ZCG(system_id)

#define ZEND_EXTENSION_BUILD_ID "API" ZEND_TOSTR(ZEND_EXTENSION_API_NO) ZEND_BUILD_TS ZEND_BUILD_DEBUG ZEND_BUILD_SYSTEM ZEND_BUILD_EXTRA

#define ZEND_BIN_ID "BIN_" ZEND_TOSTR(SIZEOF_CHAR) ZEND_TOSTR(SIZEOF_INT) ZEND_TOSTR(SIZEOF_LONG) ZEND_TOSTR(SIZEOF_SIZE_T) ZEND_TOSTR(SIZEOF_ZEND_LONG) ZEND_TOSTR(ZEND_MM_ALIGNMENT)

因为Ubuntu上编译的PHP7,打包依赖库后放到CentOS上运行,这个md5串是相同的.

可以肯定的是,Linux上导出的opcode不能放到Windows上运行,反之也是如此.

Beast加密过的PHP文件,也一样能看到PHP文件对应的opcode,

因为Beast解密后,还是一样需要调用zend_compile_file生成页面的opcode,

而opcode是可以用VLD(Vulcan Logic Disassembler)这类PECL扩展查看的.

php -dvld.active=1 -S 127.0.0.1:8080

curl http://127.0.0.1:8080/

也就是说,PHP脚本加密能够避免脚本被恶意篡改,但脚本里的数据仍然是可见的.

所以,文中的opcache.file_cache用来保护代码逻辑应该还是可以的,

但不能确保里面定义的量的安全,比如加密密钥.存也可以,但防君子不防小人,门槛高点而已.

Zend Guard和ionCube加密的PHP脚本可以用DeZender/De-ionCube解密:

http://dezender.net/

Java字节码和Android APK可以用Java Decompiler反编译:

http://jd.benow.ca/

Python脚本可以编译成pyc文件,不过pyc文件也很容易被反编译.

所以包括opcache.file_cache这样的代码保护,也只能防君子不防小人.