iT邦幫忙

2

請問PHP+MYSQL網站商業模式

srv 2020-06-15 13:58:101261 瀏覽

想請問各位大大們:
客戶想把PHP+MYSQL網站放在我們這邊, 但網站並不是我們做的,
將會需要開放FTP供設計網頁廠商連進來更新網頁.
我很擔心 SQL INJECTION 的問題,請問單兵如何處置.

請問可以用Docker的方案嗎? 用哪種版本的LINUX比較好?
還是我們做二房東就好?
每年七千元這門生意可以做嗎?

kradark iT邦好手 1 級 ‧ 2020-06-15 17:17:09 檢舉
7000背一整年責任這件事我是不會接
遇到盧小小的 光應付就累死 還沒算到解決問題
混水摸魚 iT邦研究生 5 級 ‧ 2020-06-16 11:25:34 檢舉
…我都叫客戶直接申請AWS…我幫客戶用EC2跟所有主機必要的安裝設定(固定費用 只有第一次收)每年再收一筆維護費用 (比你的代管費高,但其實所有網站相關的顧問費我是都沒收),aws 費用客戶自已付用多少付多少。這樣我跟客戶都好。給你參考。
srv iT邦研究生 1 級 ‧ 2020-06-17 09:10:26 檢舉
感謝大家提要! PHP版本 / 同時上線人數 / 權限控管/定期更新/備份 維護是重點
如果合約不寫清楚, 打迷糊仗, 每一點我都會被打槍.
10
raytracy
iT邦大神 1 級 ‧ 2020-06-15 17:20:57
最佳解答

這樣的生意叫做 Web Hosting (網站託管),

託管也有好幾種模式, 一年$7,000的價位, 應該是 Shared Hosting, 國內業者通常稱為「虛擬主機」, 但其實他跟 IT 界俗稱的 VM 虛擬機並不相同, 我通常譯成「共享主機」, 因為她是在一台主機內,切割儲存空間給多個網站存放, 並以一個 Web Server Instance 設定 Named VirtualHost 方式, 提供多個網站共用一個 IP 同時對外服務...

國內的託管業對託管規格並沒有一定的標準, 由於是 Shared, 所以也不會有固定獨佔的 CPU/RAM 資源, 頂多獨佔 Disk 空間, 而且共享頻寬和流量. 但 Shared Hosting 因多個網站共用同一台主機 (CPU/RAM), 有可能發生某個網站因遭受攻擊或程式有誤, 導致大量消耗 CPU/RAM 資源, 造成同主機內共享的其他網站, 發生資源不足而無法運作的狀況.

一般託管業通常都不會自帶安全託管, 最多提供一個 Layer 3 網路防火牆, 和定時資料備份. 至於其他比較高階的如: 本機防毒, Layer 7 WAF防火牆, IDS/IPS, Anti-DDoS, SIEM, Log稽核封存, 效能儀表板....等等功能, 接要另外額外付費購買.

託管業已經有 30 年歷史, 這方面的 LAMP 架構管理工具也非常成熟, 有現成的 Shared Hosting 工具如: Plesk, cPanel, DirectAdmin, VirtualMin, ISPConfig...等等, 可以用來區隔多個網站, 授予獨立的管理權來登入管理, 包括開通的 Provisioning 管理, 到事後的 Billing 收催帳/線上刷卡等, 都有現成的工具可以處理.

如上所述, 網站安全不是預設配備, 所以如果客戶沒買額外的保護, 託管業者並不負責入侵被駭等資安事件. 國外的低價託管業者, 常發生: 一台主機被駭, 裡面共管的所有數百個網站皆被駭等情事, 屢見不鮮.

要接這種生意, 第一個是先把合約寫清楚, 請參考各大二類電信業者所提供的託管合約, 並訂好您的 SLA 服務承諾, 以及是否賠償等條款. 以我自己為例, 我承諾客戶的 SLA 是 99.9%, 而且是以網站回應 WordPress 網站有 HTTP code 200 為準, 不是 ping 得通而已. 若我機房低於 99.9% 的可用率, 會賠償客戶費用.

至於要不要開 Container 給客戶用? 你自己決定...

資安方面, 我的機房預設防護力比一般託管業者多出很多, 所以費用至少是台灣其他業者的 5~10 倍以上. 其他不足部分, 還可以再往上加買, 以某金融業者託管在我這裡的數個網站為例, 每年總費用高達百萬元, 但是我可以符合金控要求的資安規範, 並提供他們資安部門所需的稽核報告.....

一般我會提供給小型電商業主的簡單架構大概像這樣:
(適用環境:會員總數在10萬人以下, 同時上線低於1萬人)
https://ithelp.ithome.com.tw/upload/images/20200615/20026603X05d3jsVNo.png

除上圖之外, 電商客戶我還會額外贈送 Redis Server 以及 DevSecOps Pipeline (如: DAST/SAST/RASP/Git/CI/CD..) 的工具, 給客戶的開發團隊使用, 以確保我的維運技術可以跟上它們的開發框架, 必要時還要協助優化程式邏輯和資料庫, 以應付瞬間大流量; 每台主機內部還有 6~8 道本機防禦程序 (此處不便公開, 我可以做到連 root 登入也無法修改任何檔案), 若客戶要求 ISO-27001, 27701 或 PCI DSS 第三方驗證稽核, 或是客戶上游的第二方稽核, 我也都可以配合內外稽, 這些是一般託管業者比較難提供的。

若是第一次接這種生意, 有個問題要先想清楚:
半夜三點主機掛掉時, 客戶可以忍受你多久修復上線?

我有個客戶常在半夜 3~5 點開直播賣韓系商品的....

wrxue iT邦新手 2 級 ‧ 2020-06-16 10:06:13 檢舉

請問每年7000元維護費算多嗎(不懂行情)?這樣託管業要賺什麼(真心發問)

咖咖拉 iT邦研究生 5 級 ‧ 2020-06-16 10:59:22 檢舉

看消耗的資源
虛擬主機 7000算中等 一定有更便宜的
但能用的主機資源有限

同時上線人數 100~200 這種虛擬主機基本上都撐不住

raytracy iT邦大神 1 級 ‧ 2020-06-16 11:07:45 檢舉

託管業是個非常成熟的黃昏產業, 也就是說: 這30年來, 它的獲利模式已經被精煉到極致的平衡了, 賣方不會有甚麼暴利, 買方也不會佔到甚麼便宜, 雙方的利益分配就是跟費用成高度的正相關性...

如上所述, 台幣$7000 在台灣業者算是中等行情, 國外很多只有個位數美金的, 因為國外頻寬和機房成本更便宜.

重點是, 你花了這些錢, 不論是多是少, 服務的內容夠不夠你用? 內容不夠用, 你就要再往上加買; 內容太多用不到的, 你就去找更便宜但服務更少的....

託管業者不敢往上加費用, 是因為他們自己變不出花樣, 無法增加客戶的利益; 如果有能力解決客戶的痛點, 只要客戶能因此而獲利, 其實費用可以無限制的往上加.....

2
黑暗小兵
iT邦新手 5 級 ‧ 2020-06-15 14:30:33

我覺得可以先確認幾個問題。
1.客戶的程式是運行在什麼作業系統以及PHP版本?
2.針對廠商的FTP上傳控管,是否要限制特定IP才可上傳或是廠商上傳的開放時間?(24小時or周一至周五...等等)。
3.除了SQL injection,也要注意客戶的網頁有沒有上傳功能(會不會被上傳惡意程式)或是使用了哪些第三方套件(那些套件有沒有漏洞...等等細節)。
4.廠商的程式備份跟還原,如果發生問題,能在事發之後,多少時間恢復系統運行。

至於每年七千元,我覺得可以從花多少人力去維護以及網頁系統是否穩定下去估算。

參考網址:https://www.bnext.com.tw/article/29423/BN-ARTICLE-29423

srv iT邦研究生 1 級 ‧ 2020-06-17 09:12:42 檢舉

感謝提醒還有PHP版本的限制

1
浩瀚星空
iT邦超人 1 級 ‧ 2020-06-15 16:22:51

一年7000。要開一個Docker專案感覺並不太合算。
基本上來說這是空間價。

我個人已經的做法是空間主機會獨立一台,看是要實體主機還是vps。
然後再掛個cp之類的主機控制器給客戶使用。

空間的使用規則,不負責內容的資料備份。不理會攻擊、不會去管黑客。
我當時有做一個星期的自動備份。
但是整台的備份,不會針對單一客戶備份。
客戶都有開備份功能處理。

但還是有個原則,這種外來的還是不會跟公司主要的資源放在一起。

如果有用cp之類的主機後台管理給他們大多數都足夠了。

我要發表回答

立即登入回答