最近遇到两位客户,说了一个让我有点怀疑人生的问题:php不安全 我做php十年,这个问题从我开始接触php就听说了,但是一直没当回事。 我的大学专业是.net,毕业后从事的工作就是开发,但是.net的开发以及调试、修改bug的过程很让人捉急,也很可能是当时水平不够造成的。 偶尔一次项目接触了php,确切的说是接触了thinkphp,其他语言的项目在php面前显得过于臃肿和繁琐,然后对php就一发不可收拾。 直到最近两个体量比较大的客户问了这个问题,在我拼命解释原因之后不得不回忆我解释的是否显得更加欲盖弥彰。 回到正题: 1.对于非专业开发的客户群体来说,php不安全的缘由一般是他们公司的官网被挂马,注意这里是"官网",为什么这样说,一个定制设计的官网报价普遍在5k到一万,不排除大厂的要求高。但是如果套一个模板的报价一千左右就搞定了,甚至更低,一个公司很少愿意花费上万做一个java或者.net的官网。最最常见就是找一套cms直接改,常见的有phpcms,帝国cms,织梦等等,这几套cms都不再更新维护了,网上下载的都是较早的版本,漏洞也早就遍布网络了,小众化的cms更不用说了。所以,用的越多问题就越多。 2.程序员喜欢php的原因就在于它简单或者方便,举个栗子,用一个if($xx)就能判断xx用不用作为条件执行下一步,java或.net首先要保证数据格式,之后才是判断空或者true。所以,越是简单的东西越是容易被攻破 3.开发的问题,我接触较多的是thinkphp和yii框架,做的系统也很少说被黑的,并不说要用框架才能防止被黑,只是框架的构成避免了漏洞的出现,就拿接受url参数来说,在框架内使用是经过处理的,不经过处理直接用,就跟裸奔是一模一样的。
–太忙了,有时间再写吧
|