<?php // Полная загрузка сервисных книжек, создан 2024-01-05 12:44:55
global $wpdb2;
global $failure;
global $file_hist;
///// echo '<H2><b>Старт загрузки</b></H2><br>';
$failure=FALSE;
//подключаемся к базе
$wpdb2 = include_once 'connection.php'; ; // подключаемся к MySQL
// если не удалось подключиться, и нужно оборвать PHP с сообщением об этой ошибке
if (!empty($wpdb2->error))
{
///// echo '<H2><b>Ошибка подключения к БД, завершение.</b></H2><br>';
$failure=TRUE;
wp_die( $wpdb2->error );
}
$m_size_file=0;
$m_mtime_file=0;
$m_comment='';
/////проверка существования файлов выгрузки из 1С
////файл выгрузки сервисных книжек
$file_hist = ABSPATH.'/_1c_alfa_exchange/AA_hist.csv';
if (!file_exists($file_hist))
{
///// echo '<H2><b>Файл обмена с сервисными книжками не существует.</b></H2><br>';
$m_comment='Файл обмена с сервисными книжками не существует';
$failure=TRUE;
}
/////инициируем таблицу лога
/////если не существует файла то возврат и ничего не делаем
if ($failure){
///включает защиту от SQL инъекций и данные можно передавать как есть, например: $_GET['foo']
///// echo '<H2><b>Попытка вставить запись в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>$m_comment));
wp_die();
///// echo '<H2><b>Возврат в начало.</b></H2><br>';
return $failure;
}
/////проверка лога загрузки, что бы не загружать тоже самое
$masiv_data_file=stat($file_hist); ////передаем в массив свойство файла
$m_size_file=$masiv_data_file[7]; ////получаем размер файла
$m_mtime_file=$masiv_data_file[9]; ////получаем дату модификации файла
////создаем запрос на получение последней удачной загрузки
////выбираем по штампу времени создания (редактирования) файла загрузки AA_hist.csv, $m_mtime_file
///// echo '<H2><b>Размер файла: '.$m_size_file.'</b></H2><br>';
///// echo '<H2><b>Штамп времени файла: '.$m_mtime_file.'</b></H2><br>';
///// echo '<H2><b>Формирование запроса на выборку из лога</b></H2><br>';
////препарируем запрос
$text_zaprosa=$wpdb2->prepare("SELECT * FROM `vin_logs` WHERE `last_mtime_upload` = %s", $m_mtime_file);
$results=$wpdb2->get_results($text_zaprosa);
if ($results)
{ foreach ( $results as $r)
{
////если штамп времени и размер файла совпадают, возврат
if (($r->last_mtime_upload==$m_mtime_file) && ($r->last_size_upload==$m_size_file))
{////echo '<H2><b>Возврат в начало, т.к. найдена запись в логе.</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>'Загрузка отменена, новых данных нет, т.к. найдена запись в логе.'));
wp_die();
return $failure;
}
}
}
////если данные новые, пишем в лог запись о начале загрузки
/////echo '<H2><b>Попытка вставить запись о начале загрузки в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>0, 'last_size_upload'=>$m_size_file, 'comment'=>'Начало загрузки'));
////очищаем таблицу
$clear_tbl_zap=$wpdb2->prepare("TRUNCATE TABLE %s", 'vin_history');
$clear_tbl_zap_repl=str_replace("'","`",$clear_tbl_zap);
$results=$wpdb2->query($clear_tbl_zap_repl);
///// echo '<H2><b>Очистка таблицы сервисных книжек</b></H2><br>';
if (empty($results))
{
///// echo '<H2><b>Ошибка очистки таблицы книжек, завершение.</b></H2><br>';
//// если очистка не удалась, возврат
$failure=TRUE;
wp_die();
return $failure;
}
////загружаем данные
$table='vin_history'; // Имя таблицы для импорта
//$file_hist Имя CSV файла, откуда берется информация // (путь от корня web-сервера)
$delim=';'; // Разделитель полей в CSV файле
$enclosed='"'; // Кавычки для содержимого полей
$escaped='\
Оформление диалога никакое, а так классно.
(1) Оформление не было смыслом этой обработки. Сделано за 1 минуту.
(2) А что, есть обработки у которых весь смысл только в оформлениии? Т.е. исправить ошибку в тексте кнопки назвать как то обработку вместо ВнешняяОбработка1, (я не говорю про ТабличноеПоле1, это просто мелочь) — это излИшества?
(2) Так уж и за минуту )
Идею запатентовать выложил? За идею тебе плюс, а за форму и понты — минус. Остальные «лохи» время тратят и на форму, и на скриншоты и пр. Так что не обессудь.
(5) Просишь спасибо — пожалуйста
Как не как, но подобное не часто делают…
(8)Да все правильно, идея хороша. Но зачем к неряшливости еще и распальцовку добавлять?
А если я в конфе просто уберу проверку «ключевого» файла, тогда что?… )
(6) Каюсь, дизайном не занимался совсем, но не изза понтов, а изза нехватки времени. Обработка — часть проекта по защите конфигурации — была сделана для отработки данного фрагемента кода. Сделал — решил выложить.
(10) Проверку ключевого файла можно убрать, если есть исходные коды. Если поставка без исходных кодов — это будет несколько проблематично.
(11) Разве? ) А я никакой проблемы не вижу… Ведь это только маркетинговый ход — «поставка без исходных кодов»! ) На самом деле там все есть… )
(12) Оно там все есть в бинарном виде. Хотя, если честно, я сам сомневаюсь на счет надежности всего этого. Поэтому я решил физически убрать код из модулей в защищаемой конфигурации и переместить их в закодированный по указанному здесь алгоритму шифрования внешний файл. В конфигурации остались процедура ВызватьФункцию и ВызватьПроцедуру. Хотя, с точки зрения 1С — это не правильно: по их мнению конфигурация должна быть единым целым, но с точки зрения безопасности — получше. Не спорю, что и этот метот защиты имеет свои плюсы и минусы. Пока просто лучше не придумал.
(13) Вот лучше бы рассказал как сделать внешний модуль по нормальному в восьмерке… ) А получение МАС-адреса и шифрование — это все банально… ))
(14) Да пожалуста. Только параметры процедуры пока не воспринимаются. Нужно добавить еще один параметр в процедуре кроме «ИмяПроцедуры» — «Параметры» — строка с набором параметров через запятую, разбирать строку и подставлять в шаблон. И с функциями пока вопрос не решен. Как сделаю полностью алгоритм — выложу в отдельную тему
Процедура ВыполнитьПроцедуру(ИмяПроцедуры) Экспорт
Текст = новый ТекстовыйДокумент;
Текст.Прочитать(«d:f.txt»);
ТелоПроцедуры = «»;
ПроцедураНайдена = Ложь;
Для н = 1 по Текст.КоличествоСтрок() Цикл
Стр = Текст.ПолучитьСтроку(н);
Стр = СокрЛП(Стр);
Если Не ПроцедураНайдена Тогда
Если Найти(Стр,»Процедура » + ИмяПроцедуры+»(«) = 1 Тогда
ПроцедураНайдена = Истина;
КонецЕсли;
Иначе
Если Стр = «КонецПроцедуры» Тогда
Прервать;
КонецЕсли;
ТелоПроцедуры = ТелоПроцедуры +» «+ Стр;
КонецЕсли;
КонецЦикла;
Выполнить(ТелоПроцедуры);
КонецПроцедуры
P.S. а получение мак адреса и шифрование — может и банально, но нужно. 🙂
Кстати, использование мнешних модулей обнаруживает ряд преимуществ: 1. Динамическое обновление конфы без выгоняния пользователей и даже без закрывания объектов конфигурации в пользовательском режиме,
2. Автоматический анализ изменений в коде — удобно для создания реестра изменений
3. ….
(15) Слабая защита. Процедура ВыполнитьПроцедуру находится в каком-то модуле самой 1С, как говорилось выше, ни пароль на модуль, ни поставка без исходных кодов не являются хоть чуть-чуть защитой, а значит мы имеем доступ к этой процедуре. Далее ставится точка останова на «Выполнить(ТелоПроцедуры);», и вот вам тело процедуры в открытом незашифрованном виде! И неважно сколько бит у ключа шифрования, 1024 или 8192.
Кроме того, Выполнить() — это тормоза. В твоем методе каждый раз будет распаковываться откуда-то тело процедуры, затем 1С ее будет каждый компилировать и лишь затем выполнять. Если таким образом прятать часто вызываемую процедуру, то 1С будет страшно тормозить.
(17) Нда… Это точно… Короче одними средствами 1с трудновато будет. Надо наверное будет писать Com сервер на стороннем языке.
(17) Кстати, давно хотел спросить мнения как специалиста.
Простенький пример защиты кода реализованный здесь
Насколько перспективен? Это первые опыты в данном направлении. Есть очевидные плюсы у зашифрованной:
Не требует внешних компонент для работы
При знании пароля легко исправить текст модуля в отличии от обфускации.
Существующие декомпиляторы её не берут (и Ваша и другие с аналогичным принципом)
Минусы :
Достаточно легко вскрыть если разбираешься во внутренней структуре и, соответственно, написать новый декомпилятор.
Не выкладывал из-за очевидного минуса. Для массовости не подойдет, декомпилятор будет быстро 🙂
Вот нашел по теме:
(20) Собственно, ответ содержится в вопросе. Мелкие изменения байт-кода с целью сбить с толку существующие декомпиляторы работают до тех пор, пока защищенная обработка не попадется хоть немного грамотному человеку, способному чуть-чуть подправить декомпилятор, либо привести байт-код в вид, понятный декомпилятору.
Я такие мелкие изменения байт-кода встречаю не первый раз, в EI от German ( ) тоже используются подобные трюки (у Германа блоки «Cmd», «Const», «Var», «Lbl» и «Proc» поменяны местами, и сами они преобразованы в верхний регистр — «CMD», «CONST» и т.д.).
У тебя убраны переносы строк и в конец файла добавлен мусор. Все это обходится очень легко.
Конечно, такие изменения имеют право быть, так как все-таки затрудняют вскрытие модуля для подавляющего большинства людей, но и сколь-нибудь серьезной защитой это назвать тоже нельзя.
Могу выложить вскрытую обработку РедактированиеФайлаНДФЛ_Демо 😉
(21) Я же не спорю 🙂 Изменения достаточно мелкие, но ведь работают. Кроме того можно использовать в разной компоновке и через время менять что-то еще. Т.е. каждый раз придется дописывать декомпилятор. А это достаточно напряжно (поддерживать актуальность) для использования частных случаев.
Поэтому и интересовался перспективой 🙂
+ 22 Не, обработку не надо 🙂
Спасибо за анализ.
(22) На самом деле возможности данного метода не так уж велики. Возможные изменения ограничены самой 1С, то есть нельзя изменить файл байт-кода так, что его перестанет понимать 1С. Рано или поздно разбор формата файла декомпиляторов достигнет возможностей самой 1С и тогда такой метод защиты станет неактуальным.
Но на какое-то время, безусловно, перспективы у такой защиты есть)) Тем более, что Самурай, похоже, перестал интересоваться развитием своего декомпилятора 🙂