感谢您的反馈,
1,验证码无非是为了防止非法登陆,但影响了用户体验,所以我们决定去掉了。
2,第一次加密,是为了简化程序设计,方便和别的程序整合。
或许,这两个问题有人会认为有安全隐患。
a,我们后台登陆文件是可以改名,改名后别人都不知道路径,也无法暴力破解管理员密码。就算有验证码,有一些暴力破解软件,一样可以识别验证码,这时验证码就只能起到影响管理员登陆,并不能起到什么防止非法登陆的作用。我认为使用验证码防止非法登陆,还不如密码错误10次,就禁止该IP30分钟内无法登陆,这样更好。比如discuz就是这样设计,我认为这样很好。
b.用户登陆后,密码是再经过key+base64加密,就是双重加密,别人不知道key是很难破解的。只要你数据库没被别人盗走,我认为是很安全的。(不过下个版本,考虑把MD5双重加密吧)
3,关于用户功能,我们确实还没有做,也在考虑要不要做。(有朋友建议不做用户功能,或做成插件。不做用户功能是方便和别的程序整合。)
4,首页大图的可视化替换,暂时没有做,如果懂HTML代码,改起来也非常简单。(像dedecms之类的程序,也没做可视化替换模板图片功能,所以我认为影响并不是太大)不过我们考虑以后会推出可视化拖拽编辑模版,到时可视化替换到不是问题。
