七月

第一次安裝,感覺(jué)少點(diǎn)東西!

1.后臺(tái)登陸沒(méi)有驗(yàn)證碼
2.數(shù)據(jù)庫(kù)加密過(guò)于簡(jiǎn)單吧!
3.后臺(tái)用戶(hù)管理權(quán)限和用戶(hù)的添加沒(méi)有看見(jiàn),不知道是不是我沒(méi)有找到?。ㄇ蠼猓?,但是我在數(shù)據(jù)庫(kù)里面卻看到了表里面設(shè)置有該功能,可能是后期完善吧!
4.首頁(yè)大圖的可視化替換沒(méi)有!
#1樓
發(fā)帖時(shí)間:2013-6-11   |   查看數(shù):0   |   回復(fù)數(shù):1
空城
感謝您的反饋,
1,驗(yàn)證碼無(wú)非是為了防止非法登陸,但影響了用戶(hù)體驗(yàn),所以我們決定去掉了。

2,第一次加密,是為了簡(jiǎn)化程序設(shè)計(jì),方便和別的程序整合。

或許,這兩個(gè)問(wèn)題有人會(huì)認(rèn)為有安全隱患。
a,我們后臺(tái)登陸文件是可以改名,改名后別人都不知道路徑,也無(wú)法暴力破解管理員密碼。就算有驗(yàn)證碼,有一些暴力破解軟件,一樣可以識(shí)別驗(yàn)證碼,這時(shí)驗(yàn)證碼就只能起到影響管理員登陸,并不能起到什么防止非法登陸的作用。我認(rèn)為使用驗(yàn)證碼防止非法登陸,還不如密碼錯(cuò)誤10次,就禁止該IP30分鐘內(nèi)無(wú)法登陸,這樣更好。比如discuz就是這樣設(shè)計(jì),我認(rèn)為這樣很好。

b.用戶(hù)登陸后,密碼是再經(jīng)過(guò)key+base64加密,就是雙重加密,別人不知道key是很難破解的。只要你數(shù)據(jù)庫(kù)沒(méi)被別人盜走,我認(rèn)為是很安全的。(不過(guò)下個(gè)版本,考慮把MD5雙重加密吧)

3,關(guān)于用戶(hù)功能,我們確實(shí)還沒(méi)有做,也在考慮要不要做。(有朋友建議不做用戶(hù)功能,或做成插件。不做用戶(hù)功能是方便和別的程序整合。)

4,首頁(yè)大圖的可視化替換,暫時(shí)沒(méi)有做,如果懂HTML代碼,改起來(lái)也非常簡(jiǎn)單。(像dedecms之類(lèi)的程序,也沒(méi)做可視化替換模板圖片功能,所以我認(rèn)為影響并不是太大)不過(guò)我們考慮以后會(huì)推出可視化拖拽編輯模版,到時(shí)可視化替換到不是問(wèn)題。
2013-6-12 #2樓
游客組