使用许可证密钥验证保护 wordpress 主题
Posted
技术标签:
【中文标题】使用许可证密钥验证保护 wordpress 主题【英文标题】:Protect wordpress theme with license key validation 【发布时间】:2011-09-30 11:53:44 【问题描述】:我正计划开发一些专业的 Wordpress 主题,并希望使用许可证密钥来保护它,可以吗?
如果是这样,有人愿意链接到一些帖子或文章来帮助我入门吗?
【问题讨论】:
【参考方案1】:您可以在您自己的服务器上建立一个数据库,保存主题的许可证密钥和许可 URL。然后,为您的主题设置一个管理页面。在其中,首先注册一个许可证设置数组。然后在同一页面上实现一个隐藏的设置字段,只要站点管理员更新许可证密钥,该字段就会更新。更新函数向您的服务器发送一个请求,传递许可证密钥和$_SERVER
的主机并将隐藏的 license_settings 字段设置为 true 或 false。
真正简化的代码如下所示:
functions.php
<?php
// functions.php
require("myadminpage.php");
# Functions follow here...
?>
myadminpage.php
<?php
// myadminpage.php
// register settings
function my_settings_init()
register_setting('settings_license', 'settings_license');
// register admin page
function my_add_admin_page()
add_menu_page(__( '' ), __( 'Manage License' ), 'administrator', 'myadminpage', 'my_admin_page');
add_action('admin_init', 'my_settings_init');
add_action('admin_menu', 'my_add_admin_page' );
if(isset($_GET["settings-updated"]) && $_GET["settings-updated"] == true)
$options = get_option('settings_license');
$key = $options["key"];
$host = parse_url($GLOBALS['HTTP_SERVER_VARS']['REQUEST_URI'], PHP_URL_HOST);
$url = sprintf("http://you.com/check-license.php?key=%s&url=%s", $key, $host);
$options["valid"] = trim(file_get_contents($url)) == 1) ? "true" : "false";
update_option('settings_license', $options);
// callback function that renders your admin page
function my_admin_page()
settings_fields('settings_license');
$options = get_option('settings_license');
?>
<form method="post" action="options.php">
<input id="settings_license[key]" type="text" name="settings_license[key]" value="<?php echo $options["key"]; ?>">
<input id="settings_license[valid]" type="hidden" name="settings_license[valid]" value="<?php echo $options["valid"]; ?>">
<input type="submit" value="Save">
</form>
<?php
?>
现在,您可以在需要/想要的任何时候获取许可选项并以您想要的任何方式处理无效使用。例如(粗鲁的方式):
header.php
<?php
// very first line
$license = get_option('settings_license');
// see: http://ckon.wordpress.com/2006/08/09/server-request_uri-doesnt-always-work-correctly-heres-how-to-fix/
$ruri = $GLOBALS['HTTP_SERVER_VARS']['REQUEST_URI'];
if(!preg_match("#wp-admin#", $ruri) && $license["valid"] != "true")
wp_die( __('This website uses unlicensed software.<br>Administrators can update their license key <a href="'. get_bloginfo('url') .'/wp-admin/admin.php?page=myadminpage.php">here</a>.') );
# rest of header.php comes here..
最后混淆你的php代码(例如http://www.ioncube.com/sa_encoder.php),你就完成了。但是,请确保您没有违反任何其他许可证,例如 WP。如果您的最终代码中使用了一行 WordPress 核心功能,则您不能在 WP(即 GPL)之外的任何其他许可下发布它。
【讨论】:
如果用户事先知道主题使用某种许可证密钥,他们只需一次不成功的尝试即可找出发生了什么(新的 WP、导出数据库、安装主题、导出数据库、区分两个出口)。忽略这样一个事实,即如果用户确定使用您主题的非法副本,他们会这样做,GPL 不允许混淆代码 (***.com/questions/1086445/obfuscation-and-gpl) 而 WP 主题是 GPL (wordpress.org/news/2009/07/themes-are-gpl-too) 我知道你不允许这样做,这就是我自己提到许可证问题的原因。但是,我想举一个例子说明它是如何 完成的。并且忽略它是不允许的事实,我知道有几个主题/插件开发人员使用这种技术来保护他们的产品(到目前为止没有人遇到过问题)。关于您的另一点:我看不出您如何绕过这种方法。即使您知道 API 密钥与您的 URL 相关联。只要您的所有代码都被混淆,唯一的方法就是知道如何为 URL 构建有效的校验和(也称为 API 密钥)。 PS:另外,问题不在于这样做是否合法,而在于是否可以这样做。 ;)【参考方案2】:我不这么认为。毕竟,用户必须拥有使用主题的 php 代码,如果他们拥有它 - 他们可能会以不再需要密钥的方式对其进行更改。
【讨论】:
Nikolay,你说得对,用户必须有 php 代码才能使用主题。但他不能拥有您的 php 代码的人类可读副本。看看我的回答,大致了解如何做到这一点。 您必须提供人类可读的代码 (***.com/questions/1086445/obfuscation-and-gpl)以上是关于使用许可证密钥验证保护 wordpress 主题的主要内容,如果未能解决你的问题,请参考以下文章