不用 IonCube（或类似的）。不知道这是啥的话，就是加密 PHP 代码但还能运行的工具。问题是太贵了。

性能要好，PHP 原生支持。

后来想到，PHP 有个"opcache"功能，能把源码编译成操作码（机器语言）在 Zend VM 上跑，跟 Java 差不多 😃 厉害的是，这样既保护了代码，又提升了性能！

开始干活。要让这套方案跑起来，得把代码打包成镜像（就是个只读的存储，跟系统其他部分隔离开），因为 opcache 是全局生效的，不管哪个 PHP 项目。最好的工具就是 Docker。（Docker 比虚拟机轻量多了，分发部署都很方便）。

这次用 Laravel 做例子。为啥选它？因为组件多，依赖库也多，能遇到各种坑，学到的东西也多。

一般来说，我们的核心代码都在 /app 目录里，这部分需要保护。其他目录像 /vendor 都是开源库，不用管。

具体步骤

第一步，在项目根目录建个 warm-opcache.php 文件。这玩意儿会调用 opcache_compile_file() 手动让 PHP 编译代码。

1. <?php 
2. $directory = new RecursiveDirectoryIterator('/var/www/app'); # 我们用 /var/www 
3. $iterator = new RecursiveIteratorIterator($directory); 
4.  
5. foreach ($iterator as $file) { 
6.     if (pathinfo($file, PATHINFO_EXTENSION) === 'php') { 
7.         echo "编译中: {$file}\n"; 
8.         opcache_compile_file($file); 
9.     } 
10. } 

第二步，建个 empty-preserve-time.sh 脚本（记得 chmod +x 给执行权限）。这个脚本会把 PHP 文件内容清空，但保留时间戳。为啥要保留时间戳？因为文件修改时间一变，opcache 就会重新加载。

1. #!/bin/bash 
2.  
3. for file in $(find ./app -type f -name "*.php"); do 
4.   timestamp=$(stat -c %Y "$file")  # 获取修改时间（从纪元开始的秒数） 
5.   : > "$file"                      # 清空文件 
6.   touch -d "@$timestamp" "$file"   # 恢复原始时间戳 
7. done 

第三步，把 zz-opcache.ini 配置文件放到 /usr/local/etc/php/conf.d 目录（或者你系统的 conf.d 在哪就放哪）。（记得先装好 PHP 的 opcache 扩展）

opcache.enable=1

opcache.enable_cli=1

opcache.validate_timestamps=1

opcache.revalidate_freq=10

opcache.file_cache=/var/www/.opcache

opcache.file_cache_only=1

重要：先把代码 commit 或者备份！下面的操作会删除文件内容！

接下来就是见证奇迹的时刻了。先跑 php warm-opcache.php，再跑 empty-preserve-time.sh，文件内容会被清空，但 /app 目录结构还在，Laravel 项目照样能跑。不信你试试！

这套方法对任何 PHP 项目都管用，不管你用 PSR-4 还是简单的 require()。Laravel 用的是 PSR-4。

不错，概念验证成功。下一步就是打包，要能分发到客户的服务器上。（就像 Go 能编译成 .exe 一样）

直接上 Dockerfile。（这个 Dockerfile 没做层优化，主要是为了好理解）

1. FROM php:8.3-fpm-alpine # 根据需要修改 
2.  
3. # 添加更多 pecl install 或 docker-php-ext-install 
4. # 来安装项目需要的扩展 
5.  
6. # 启用 opcache 
7. RUN docker-php-ext-install opcache 
8.  
9. WORKDIR /var/www 
10. RUN mkdir -p /var/www/.opcache 
11.  
12. # 复制源码 
13. COPY app ./app 
14. COPY artisan ./artisan 
15. COPY bootstrap ./bootstrap 
16. COPY database ./database 
17. COPY config ./config 
18. COPY public ./public 
19. COPY resources ./resources 
20. COPY routes ./routes 
21. COPY storage ./storage 
22. COPY composer.* . 
23.  
24. # 安装 ini 文件 
25. COPY zz-opcache.ini /usr/local/etc/php/conf.d 
26.  
27. # Laravel 的 composer install 需要 .env 
28. # 我们复制一个假的 .env 
29. COPY .env.example .env 
30.  
31. # 安装 PHP 依赖（不要把这行移到上面） 
32. RUN composer install --no-dev --optimize-autoloader 
33.  
34. # 编译并删除 /app 中的源码 
35. RUN php warm-opcache.php 
36. RUN ./emptyempty-preserve-time.sh 
37.  
38. # 恭喜！你的代码已经被清除了！ 
39. # 如果不信，你可以 `ls` 你的 /app 目录并 `cat` 它 
40.  
41. # 如果需要，你可以创建一个 ENTRYPOINT 脚本，也可以执行 
42. # ./artisan queue:work, 或 ./artisan schedule:work 
43. CMD ["./artisan serve"] 

现在，你可以 docker build 并 docker push 到你的注册服务器，然后从客户的本地服务器 pull，而不用裸露地交付代码！当你有更新时，简单的 docker pull 就能节省很多时间！

可能有人会问，我们能删除 /app 目录而不是留空吗？不行。因为"opcache"会检查文件是否存在。

额外收获

上面的 Dockerfile 不安全。为什么？因为 Docker 在每个阶段都使用层，意味着当你 COPY app ./app 时，它实际上复制了你未保护的代码，并创建了一个层。Docker 专家可以轻松解开这些层，获取你的原始代码。

解决方案是使用多阶段构建。这是修订后的 Dockerfile。注意我们在第 1 行添加了 as build。

1. FROM php:8.3-fpm-alpine as build # 根据需要修改 
2.  
3. # 添加更多 pecl install 或 docker-php-ext-install 
4. # 来安装项目需要的扩展 
5.  
6. # 启用 opcache 
7. RUN docker-php-ext-install opcache 
8.  
9. WORKDIR /var/www 
10. RUN mkdir -p /var/www/.opcache 
11.  
12. # 复制源码 
13. COPY app ./app 
14. COPY artisan ./artisan 
15. COPY bootstrap ./bootstrap 
16. COPY database ./database 
17. COPY config ./config 
18. COPY public ./public 
19. COPY resources ./resources 
20. COPY routes ./routes 
21. COPY storage ./storage 
22. COPY composer.* . 
23.  
24. # 安装 ini 文件 
25. COPY zz-opcache.ini /usr/local/etc/php/conf.d 
26.  
27. # Laravel 的 composer install 需要 .env 
28. # 我们复制一个假的 .env 
29. COPY .env.example .env 
30.  
31. # 安装 PHP 依赖（不要把这行移到上面） 
32. RUN composer install --no-dev --optimize-autoloader 
33.  
34. # 编译并删除 /app 中的源码 
35. RUN php warm-opcache.php 
36. RUN ./empty-preserve-time.sh 
37.  
38. # 恭喜！你的代码已经被清除了！ 
39. # 如果不信，你可以 `ls` 你的 /app 目录并 `cat` 它 
40.  
41. # ======== 这里是多阶段层构建 =========== 
42. FROM php:8.3-fpm-alpine # 根据需要修改 
43.  
44. WORKDIR /var/www 
45.  
46. # （重复上面完全相同的步骤） 
47. # 添加更多 pecl install 或 docker-php-ext-install 
48. # 来安装项目需要的扩展 
49.  
50. # 启用 opcache 
51. RUN docker-php-ext-install opcache 
52.  
53. # 安装 ini 文件 
54. COPY zz-opcache.ini /usr/local/etc/php/conf.d 
55.  
56. # 从 `build` 复制清空的文件和 opcache 代码到这里 
57. COPY --from=build /var/www . 
58.  
59. # 如果需要，你可以创建一个 ENTRYPOINT 脚本，也可以执行 
60. # ./artisan queue:work, 或 ./artisan schedule:work 
61. CMD ["./artisan serve"]

Tags: PHP保护源码 Opcache保护源码

分享到：