nezzard: нифига непонял.
Как это поможет от "получить один раз код и забыть навсегда про обращение к серверу за куском этого кода"?
кусок кода не может быть зашифрован - исполнять его как тогда? Так что проверки любые в нём будут выпилены.
Проверка на клиенте точно так же будет видна и выпилена при надобности.
nezzard: от школохакеров смысл есть.
восстановить исходники возможно, так же как и ioncube.
вопрос во времени/цене.
Один файл на форумы специализированные можно закинуть и как правило там раскодируют за так.
Куча софта для разных версий и кодировщиков в интернете тоже валяется, только потратить время чтобы подобрать рабочее решение.
+ чтобы обойти лицензию достаточно восстановить один файл с проверкой лецензии, чтобы понять как обойти/подменить его.
nezzard: размышления про код я написал.
Нет такой вещи как "исполнение кода на другом сервере".
Это уже будет API которое что-то получает и выдает результат после обработки.
Загружать часть кода и сохранять это на клиентской стороне равнозначно отсутствию защиты.
И в случае падения вашего сервера это не спасет если код хранится какое-то время, а ваш сайт будет лежать чуть дольше или вообще "закроется лавочка" например.
А если код хранится на всякий случай постоянно пока ваш сервер лежит, то можно домен вашего сервера отправить в локалхост и сделать бесконечную лицензию.
В общем обойти миллион способов, нет такой защиты скриптовом языке которую не снять.
Только для видимости слабые проверки чтобы совсем просто так нельзя было раздать код.
nezzard: любая лицензия будет сломана ЕСЛИ НАДО.
Делается это как два пальца на php.
Если у вас есть клиенты которые платят, они не будут ломать, им это не надо.
Если клиенты специалисты/разработчики они МОГУТ сломать если захотят(дорого или еще что-нибудь).
Бесмыссленно часть кода прятать, это уже API, а не раздача части кода.
Достаточно простой проверки для вида и отмена обновления для лицензий кончившихся.
В любом случае есть аудитория хоть сколько-то большая скрипты будут сломаны и в худшем случае слиты в паблик без защиты.
Опять же на клиентов которым проще заплатить это никак не повлияет.
PoodingRex: он генерирует не токен, а сигнатуру, и сверяет с той что содержится в jwt-токене.
jwt-токен содержит данные + сигнатуру. По данным мы уже можем узнать юзера например, даже если токен невалидный и т.д.
сигнатура по сути хеш-сумма данных из токена.
если робокассу или другую платежку ставили когда-нибудь, примерно так же работает.
jwt токен содержит массив данных любых для иеднтификации юзера.
например user_id, email и сигнатура.
сигнатура допустим это md5(user_id,email,secret_key)
при обращении к серверу из jwt-токена можно достать user_id и email, и сгенерировать md5(user_id, email, secret_key)
Если хеши совпали = пользователь/токен валидный.
secret_key знает только сервер.
В общем этим всем не надо заморачиваться, уже есть тысяча и одна реализация на всех языках. https://jwt.io/
Прочитать только доки и прилепить к своему коду.
Scorry: уже даже не вспомню что за спам был, года 3 прошло.
Спам если не ошибаюсь с лома шёл, типа роутеров/других помоек и т.д. Потому что айпишники вроде как динамические были от мобильных и не очень провайдеров.
А содержание и/или домены уж точно не помню :)
спф не добавлял, если из коробки не было.
днс как раз по блеклистам проверялся в итоге, 2-3 сервера добавил и спам стал успешно отбиваться.
спамхаус и еще какие-то, правда потом вроде один оставил, возможно спамхаус. По логам самый корректный в общем.
Из реальных писем отбивались либо с каких-то шаредов с измученными айпишниками, либо когда отправляли с десктоп клиентов и письмо "подписывалось" айпишником юзера как раз какой-нибудь yota или чем-то подобным что массово в блеклистах лежит.
Scorry: не знаю на счет грейлиста, был он или нет, но спама не было 1-2 года, а потом прорвало, причем на почты которые даже нигде не светились.
dnsbl решил проблему.
Обычный антиспам не прокатил т.к. принималась техническая почта на скрипты, и антиспам отбивал все такие письма :)
Сева: в этом и дело. Пример с роутером выше, вешать не на все, а только на определенные по параметрам.
Прокинуть @клик внутрь способов не видел, код просто не выполняется как тимплейт полноценный только html
Dauren: не разрознено, а гибко! xD
Если вам нужно клепать в два клика сайты - используйте CMS, там и плагины из админки ставятся и круды какие угодно мышкой делаются.
abonu: десятки тысяч это ничто для субд.
Но это уже вопрос правильности архитектуры и оптимизации.
Когда у вас будет 1000 пользователей и на каждого таблица или еще лучше база своя, то проблем гораздо больше будет, чем при миллионах записей в одной таблице. Да оно даже без "костылей" не запустится например при таким количествах баз/таблиц т.к. это очень много файлов на диске.
sHaggY_caT: трудно сказать.
Практически гуём не пользовались.
По сути использовали генераторы конфигов и заполняли базу, а freepbx выступал в роли скрипта чтобы конфиги обновлять.
Но это были совсем стандартные куски конфигов типовые. для подключения транков и немного для приёма звонков. И то приём звонков заключался в отправке всех звонков в самописный диалплан, который уже руками писали.
Про смс не знаю, но модулей много, под всё модули есть.
Как это поможет от "получить один раз код и забыть навсегда про обращение к серверу за куском этого кода"?
кусок кода не может быть зашифрован - исполнять его как тогда? Так что проверки любые в нём будут выпилены.
Проверка на клиенте точно так же будет видна и выпилена при надобности.