```html

PHP代码保护策略与实施

在生产环境中，PHP源码的安全性直接关系到系统稳定性与商业机密。虽然PHP是解释型语言，但不当部署可能导致核心逻辑泄露。以下为实用、合规的代码保护策略。

1. 部署层防护（首选）

最有效的方式是避免源码暴露：将PHP文件置于Web根目录之外，仅通过入口脚本（如index.php）路由请求。

# 项目结构示例
/var/www/
├── public/          # Web可访问目录（含 index.php）
│   └── index.php
└── app/             # 核心代码（不可被Web直接访问）
    ├── config/
    ├── controllers/
    └── models/

public/index.php 中引导加载：

<?php
// public/index.php
define('APP_PATH', dirname(__DIR__) . '/app/');
require APP_PATH . 'bootstrap.php';

2. Web服务器配置加固

禁止直接访问敏感文件（.env、.php等）：

# Nginx 配置片段
location ~ \.(env|log|ini|php~|bak|swp)$ {
    deny all;
}
# Apache (.htaccess)
<FilesMatch "\.(env|log|ini|php~|bak|swp)$">
    Require all denied
</FilesMatch>

3. 敏感信息隔离

绝不硬编码数据库密码、API密钥。使用环境变量或配置中心：

<?php
// 使用 getenv()（需确保 PHP 配置 allow_url_fopen=Off 且禁用危险函数）
$host = $_ENV['DB_HOST'] ?? 'localhost';
$password = $_ENV['DB_PASSWORD'] ?? '';

// 更安全：使用 vlucas/phpdotenv（开发环境）
if (file_exists(__DIR__ . '/../.env')) {
    $dotenv = Dotenv\Dotenv::createImmutable(__DIR__ . '/..');
    $dotenv->load();
}

4. 运行时安全增强

禁用危险函数，限制执行范围：

; php.ini 安全配置
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,pcntl_exec
open_basedir = "/var/www/public:/tmp"
expose_php = Off

在代码中主动校验：

<?php
// 检查关键函数是否被禁用
if (!function_exists('exec')) {
    error_log("exec() disabled — security enforced");
} else {
    throw new RuntimeException("Dangerous function enabled in production");
}

总结：真正的PHP代码保护不是“藏起来”，而是“管住访问路径、隔离敏感数据、收紧运行权限”。遵循最小权限原则，配合CI/CD自动化扫描（如PHPStan、SecurityChecker），才能构建纵深防御体系。

```