好久没来了。这里广告还是那么多。既然提到广告，咱们就好好说说。我自己也一直在搞这方面副业，今天咱们从开源，闭源说起。（让这个吧也有点正经帖子）概念大家都懂，鉴于PHP语言本身就是开源的，所以用PHP最大的好处就是开源项目多。（现在JS在node下也是迎头赶上）这也成了PHP一大亮点。在搞副业部分，因为有大量开源项目给大家二开，基本开发速度无可比拟。我觉得可以碾压传统语言，比如Java。但是总还是有人有这个顾虑，开源项目二开不安全，还是闭源的好。真的是这样吗？（楼下接着说）

大家所谓的不安全，主要是怕有人嘿。可是这个要从网站本身和用途出发。先分析用途，嘿克的目的并不是简单搞一下别人网站的无聊举动。毕竟嘿个网站也不容易。如果您的网站就是显示一下公司产品信息，没有用户注册，没有在线交易，黑客会嘿么？再说网站本身。目前主楼开源框架，包括开源cms，自身的安全性都很高。（大家都在进步，黑客有新技术，开源开发者也不弱。）即便WordPress，被人SQL injection的几率都是趋近于零的。主流插件也是如此。（不入流的插件除外。所以品牌，口碑很重要）

既然网站这么好，我的网站为啥还老是***。不是黑客看不上我的网站吗？这里我的回答是无聊的人也不是没有。有一些买两本杂志就觉得自己是黑客了，或者走在黑客的路上了。然后就出去用光盘自带的软件去搞别人的网站练手。所以你的网站如果做的确实很差，那么狠不幸，你的网站还是会中招。不过只要是“正规”开发的网站，比如有captcha，在数据存数据库前有合理的验证和校验等，被攻击成功的几率是非常低的。

OK，我该做的我觉得我也都做了，那么为啥我的网站还是会被黑? 这里想说的就是PHP运行环境比较简单，设计的软件少，结构相对简单。这就导致一些服务器提供商，偷懒，为了赚钱，搞个Apache，MySQL就去卖。例如用cpanel后台的服务器空间。便宜不假，但安全性太差，黑客其实并不需要听过黑网站去搞，而是通过黑服务器去搞。但是对于不明真想的老板来说，背锅的自然是程序员。实话实说，我们公司网站前台基本都是WordPress，后台是第三方的Java后台。API对接。WordPress通过docker部署在aws，这么多
年下
来，也就***一两次。基本都是发现后，5分钟解决，没有数据丢失。所以服务器对于开发来说很重要。

那我没有钱，就是个个体户，想要个安全网站怎么办？这就需要一点经验了。分享一点点。比如WordPress想用5刀一个月的cpanel空间。那么请安装wordfence插件。这个插件自带防火墙。可以阻止很多初级攻击。（用Wordpress网站的，也不会是什么高级应用。一般都是网页显示，产品展示等。）这样基本就可以了。我个人在用自己写的后台前搞的几个垃圾网站（赚点广告费的那种）都是Wordpress＋wordfence，被黑概率基本上在3年一次。程序和数据库经常备份（程序我备份在github，数据库写个shell script，每天备份一次，足以。）另外一点经验就是别把所有代码都放到Apache或者ngnix的根目录下给人访问。没必要。至少数据文件别放。比如我做个mp3音频分享网站。那么mp3文件则没必要放到根目录下，只要播放器能找到文件，播放即可。这样即便网站被黑，你用备份恢复一下即可，5分钟搞定。mp3文件则不会受损或丢失。网站瞬间又能上线了。至于更多经验，这里就不分享了。大家自己多总结。

最后一点。PHP就不能闭源么？当然可以。只要网站基于你自己写的框架，你的框架架构是自己的（个别库功能自然可以用composer），并且源代码没有在平台上公开过，就行。这样你的框架就是闭源的。写出来的程序也就没人知道架构和你用的方式方法了。你可能会说，PHP直接运行源代码，那么还不是闭源不了，别人一看不就啥都知道了。我费半天劲都给别人了。我想这也就是大家不愿意在PHP上下功夫的主要原因。说一下我这方面的经验。两种解决方法。第一，（简单操作，但是需要口碑和精力），就是网站放我自己的服务器上运行，然后收取每月维护费。这样就不怕代码外泄了。第二，（灵活，但是需要一些技术），就是PHP代码加密。这种方法网上很多，但是给整个框架进行加密，并保持结构完整和高效运行的则不多。用这种方法大家就要下功夫了。这两种方法我都在用。加密后的PHP则可以交付客户使用，然后你是收取维护费还是license费，就看自己了。

我自己由于个人原因必须要维持现在的全职工作，所以没能力做很多私活，所以我也不打广告，也不提我对这方面的看法。今天有感而发，希望对大家能够有点帮助。还是那句话，写给雇主，你是否真的需要闭源。闭源开发周期长，代码不可读 ，费用高。依我自己为例，我目前因为没时间全职干私活，所以像基于开源框架，开源cms的网站都不接。我用我自己开发的基于swoole的框架做网站，基本上5w刀起步，用客户提供的前台网页模板。如果想让我们定制设计模板，还要再加钱。开发周期3个月算快的（这个开发周期和我个人有关，因为毕竟还有全职工作要做）。但是按我之前的经验，Wordpress网站，基本上2天搞定。magento最长也就一个月。所以大家在是否开源，是否二开上，是不是就可以做出一些明智些的选择了呢？

wp用户多，但漏洞也不少，被黑客攻击也多