上次看了动易WEBBOY的文章,感觉不爽,提出了不同的意见,没想到遭到了貌似动易员工的攻击(编辑注:CMS是开源之争 动易更应该逃出围城),在这里,我要声明一下,作为八年的老站长了,我只想让新站长或者我的站长同行能正确的选择一套可持续发展和使用的CMS系统,只是在阐述自己的观点是揭露了一些深层次的秘密而已,并没有攻击谁的意思,更没有助力推广淡淡风的意思,这不,刚看了《对话钟胜辉:如果PHP追求万能 将是一场灾难》后,感觉淡淡风为了推广自己的新CMS也有不择手段的现象,现在我又来“攻击”淡淡风了?我只是希望厂商在推广自己的产品时,多讲自己的产品优势就好了,不要引导大家曲解和误导其他的语言。
先看一段原文:51CTO记者:PHP网站的安全是个很常见的问题,有关PHP网站漏洞的消息是很多的。您认为这其中的原因和PHP语言本身的特点有关么(相对于如PHP网站数量、PHP代码编写习惯等其他因素)?PHP的安全有改善的空间么?
钟胜辉:网站的安全是一个比较系统的问题,它跟服务器安全以及代码的质量是直接相关的,我们并不能说PHP这门语言不安全。目前PHP有很多优秀的开源产品,例如discuz,phpcms等,即使在开源的情况下,这些产品也保证了足够的安全性。PHP的门槛很低,一两周的时间就可以入门,而这些“快速入门”的程序员,往往容易忽略代码安全问题。安全问题的改善,取决于越来越多的PHP程序员对这个问题的重视程度。
淡淡风在面对PHP安全问题时,不应该以“而这些“快速入门”的程序员,往往容易忽略代码安全问题”来推卸责任,这样给人的感觉是大家都很差,就discuz,phpcms很强大一样,但phpcms的安全漏洞也是非常常见的啊,discuz也有很多致命的安全漏洞,甚至大家对这些出名的CMS安全漏洞习以为常,奈之如何?打补丁呗。这也说明了一个浅显的道理,无论是谁开发的,都有安全问题的可能,不要去迷信谁的话,如果你因为安全问题就不敢选择某某CMS,那你就别做站了,因为任何CMS都有面临着安全问题,CMS的知名度越大,越不安全,现在的黑客,都是商业黑客,黑客与CMS厂商的故事和小偷与警察的故事是一样的道理。不过PHP技术门槛低也是一个非常很大的安全问题。
再看一段原文:51CTO记者:现在在不少大型项目中,PHP完全充当了脚本的功能,而逻辑性比较强的业务处理则由另一门功能丰富的语言(例如Java)来实现。您认为这样在复杂度、开发快捷度、开发周期以及成本等方面有着怎样的影响?
钟胜辉:这种情况确实存在,但我认为之所以出现这种情况,并不是因为PHP“做不了”,而是很多项目负责人对PHP的偏见以及对JAVA等语言的迷信造成了这种现状……没有哪种语言可以做到“万能”,java有这样的野心,但我们可以看到java现在的境遇似乎并不如PHP那么红火,如果PHP也追求“万能”,那将是一场灾难。
这个说法本身就很偏见和迷信,PHP的程序员这么多,PHP的局限性大家都心知肚明,PHP在中国的盛行,并不完全是PHP有多么的好,而是ASP和IIS太不争气了漏洞太多了,而PHP与Java之争,我觉得根本就不是一个等级的,很简单的例子,国内银行的系统、网站,哪个不是基于Java开发的?为什么像我们去接网站业务是,越来越多的客户要求必须用Java系统,这就说明Java在安全和性能方面远远高于PHP,Java难学是导致Java发展受阻的原因之一,Java厉害的被大公司包养了也是Java发展受阻的很大原因,像我公司里,招一个PHP的程序员1500元,就可以根据现有PHP的CMS做一些二次开发,而我们为了在JEECMS上做二次开发,2500元的月薪都招不到人,这样Java怎么发展?还有PHP能有今日的红火,与众多优秀PHP系CMS厂商努力是分不开的,而Java在中国站长界火不起来,最重要的是没有国产的CMS,没有CMS系统的支持,Java再好都发展不起了,Java要发展,必须有大量的Java系CMS厂商的优秀程序作推动,而JEECMS开创了国内Java首个开源CMS系统,后面肯定会有大批的人跟着去做,当Java系CMS像PHP系CMS一样进入了良性循环时,淡淡风还会这样说吗?
3年前,我很多客户找我做网站,常常有客户要求我们必须使用PHP技术,那时,我们在找PHP程序员也是很艰难。现在,我很多客户找我做网站,常常有客户要求我们必须使用Java技术,现在,我们在找Java程序员也是很艰难。