a) Garnicht , ist ja eine interpretierte Sprache , da gibt's nur Obfuskatoren

b) Compilieren http://en.wikipedia.org/wiki/HipHop_for_PHP

Die Funktion bleibt dennoch die Selbe.

- es wird da eventuell nur nutzloser Zusatzcode eingeschoben
- Bezeichner von Variablen und Funktionen werden wirre umbenannt
- und code wird "verschlüsselt", gepackt und zur Laufzeit wieder entpackt, entschlüsseln und per Eval ausgeführt.

Ja, so kann man den PHP-Code "erstmal" nicht mehr lesen, aber genauso, wie der Interpreter, kann man sich das auch selber zurückübersetzen.

Gegenfrage: was soll das bringen?

Dem Hacker das leben schwer machen und den eigenen Code schützen

[OT]Ist nicht ein Key-Feature der Sprache das dies das normale Ergebnis von PHP-Entwicklung ist? [/OT]

Es geht darum, die Passworte des Benutzers zu schützen. Die meisten Leute benutzen das gleiche Passwort für alle/viele Dienste.
Wenn in deiner Datenbank auch eine eMail-Adresse steht, kommt der Hacker bei einem großen Teil der Leute auch an ihr eMail-Konto ... was meist der Schlüssel zu sämtlichen anderen Online-Aktivitäten ist.
In einem industriellen Umfeld ließe sich mit einem erbeutetem eMail-Konto sicher auch einiges an Schaden anrichten.

Was bei den meisten Hashfunktionen nicht das größte Problem ist.
Hier wurde das wichtigste schonmal gesagt. Insbesondere, wenn die zu erbeutenden Identitäten etwas wert sind, sollte man beim Speichern der Passworte vorsichtig sein.

Ein Fehler wäre es, ein Passwort

• im Klartext
• ungesalzen gehasht
• mit einem für die Datenbank festen Salt gehasht
• mit einer ressourcensparenden Funktion gehasht

zu speichern.

Deswegen: bcrypt, scrypt oder PBKDF2 mit einer der Sicherheit angemessenen Anzahl an Runden verwenden.
bcrypt gibt es zB. hier für PHP von der Community, die auch hinter John the Ripper steckt.

*lach* - da hab ich jetzt instinktiv den "Gefällt mir" Button gesucht....

GRL

Dann mach das, indem du deinen Server ordentlich absicherst. Ich halte es generell für eine schlechte Idee, die Symptome behandeln zu wollen (PHP-Code schützen), wenn man lieber an der Ursache ansetzen sollte bzw. muss (Einbruch in den Server verhindern).

Davon abgesehen glaube ich nicht, dass Leute, die in Server einbrechen, Interesse an irgendeinem Code haben. Die sind eher dahinter, Malware bei einem Einbruch zu hinterlegen, um möglichst viele Opfer zu erreichen. Klar, es gibt solche und solche Einbrecher. Aber in der Regel geht es doch darum, noch mehr Rechner (dann Clients) zu kapern, um die zu einem Botnetz zu machen, um damit entweder Geld zu verdienen (Botnetz "vermieten") oder es selbst zu einem Angriff auf irgendein Ziel zu benutzen.

MfG Dalai