Silnik PHP z czasem generacji 0.0023 s: architektura i ochrona przed atakami
Aplikacja webowa w czystym PHP generuje strony w 0.0023 sekundy — 200 razy szybciej niż typowe CMS-y, takie jak WordPress czy Drupal. Te systemy wykonują dziesiątki zapytań do bazy danych na każde kliknięcie, z czasem odpowiedzi 0.2–0.5 s. Nowy silnik używa minimalistycznego podejścia: routing na podstawie białej listy modułów, filtrowanie ścieżek za pomocą wyrażeń regularnych w celu ochrony przed LFI, przechowywanie wszystkiego w plikach bez skomplikowanych paneli administracyjnych.
Architektura jest zorientowana na Unix-way: niepotrzebne moduły są wyłączane za pomocą hashtagów w konfiguracji. To pozwala uniknąć narzutu frameworków i zależności.
$route = preg_replace('/[^a-z0-9_]/', '', $_GET['route'] ?? '');
// Panel sterowania modułami
$modules = [
'journal' => 'LOGI',
'libraries' => 'BIBLIOTEKA',
# 'archive' => 'ARCHIWUM',
'auth' => '',
];
Aktywna ochrona przed botami i skanerami
Silnik zawiera mechanizmy aktywnej obrony zamiast pasywnych banów. Niewidzialna pułapka w katalogu głównym strony oznacza boty etykietą w sesji. Po aktywacji generuje stronę z fałszywymi iframe na zasoby służb specjalnych i przyciskiem do pobrania ZIP-bomby.
Kluczowe funkcje ochrony:
- Etykieta hańby:
$_SESSION['POZOR'] = true;z natychmiastowym zapisem do pliku sesji. - Panoptykon: ukryte iframe na zewnętrzne cele do logowania IP atakującego.
- Jądrowa ZIP-bomba: generacja archiwum ze skompresowanych zer w locie, z kontrolą połączenia, aby zapobiec przeciążeniu serwera.
Przykład kodu pułapki:
<?php
/**
* HA-HA-HA v1.1 "GLOBALNY PANOPTYKON"
*/
define('YOU_SAIT_ACCESS', true);
session_start();
$_SESSION['POZOR'] = true;
session_write_close();
echo "<html><head><title>ZASSYHA: GLOBALNY SYSTEM PUŁAPEK</title></head>";
echo "<body style='background:#000; color:#ff007f; font-family:monospace; padding:50px;'>";
echo "<h1>[ BŁĄD DOSTĘPU: TWÓJ ŚLAD ZOSTAŁ ZAREJESTROWANY ]</h1>";
// ... (iframe i fałszywe pliki)
Kod ZIP-bomby z ochroną przed przerwaniem:
if ($route === 'nuclear_bomb' && isset($_SESSION['POZOR'])) {
ignore_user_abort(false);
set_time_limit(600);
header('Content-Type: application/zip');
header('Content-Disposition: attachment; filename="ZASSYHA_FULL_EXPLOIT_DB.zip"');
$chunk = str_repeat("\0", 1024 * 64);
foreach ($fake_files as $f) {
// Nagłówek ZIP
echo "PK\x03\x04...";
for ($j = 0; $j < 50000; $j++) {
if (connection_status() !== 0 || connection_aborted()) {
break 2;
}
echo gzencode($chunk, 9);
if (ob_get_level() > 0) ob_flush();
flush();
}
}
exit;
}
Frontend bez JavaScript
Interaktywność jest zrealizowana w CSS z użyciem :checked dla akordeonów i rozwijania. Brak zależności od JS, co redukuje wagę strony. Design w stylu terminala z lat 2010 z estetyką cyberpunku: font monospace, ciemne tło, różowe akcenty.
Zalety podejścia:
- Pełne renderowanie po stronie serwera.
- Minimalny rozmiar index.php.
- Dostępność bez JS.
- Ochrona przed podatnościami po stronie klienta.
Skalowanie i dostosowywanie
Silnik to monolit gotowy do rozszerzania poprzez moduły. Otwarta wersja na GitHub zawiera podstawowy szkielet bez mechanizmów obronnych. Deweloperzy mogą dodać własne pułapki, zachowując filozofię minimalizmu.
Benchmarki potwierdzają efektywność: 0.0023 s na generację przeciwko 0.2+ s w CMS. Osiąga się to dzięki brakowi zapytań do bazy danych, statycznej generacji i zoptymalizowanemu routingowi.
Co jest ważne:
- Czas generacji strony — 0.0023 s, 200 razy szybciej niż CMS.
- Routing z białą listą i filtrowaniem regex przeciwko LFI.
- Aktywna obrona: pułapki, panoptykon, ZIP-bomby z kontrolą zasobów.
- No-JS frontend na CSS :checked.
- Modułowa architektura z zarządzaniem Unix-way.
— Editorial Team
Brak komentarzy.