感谢您的反馈,
1,验证码无非是为了防止非法登陆,但影响了用户体验,所以我们决定去掉了。
2,第一次加密,是为了简化程序设计,方便和别的程序整合。
或许,这两个问题有人会认为有安全隐患。
a,我们后台登陆文件是可以改名,改名后别人都不知道路径,也无法暴力破解管理员密码。就算有验证码,有一些暴力破解软件,一样可以识别验证码,这时验证码就只能起到影响管理员登陆,并不能起到什么防止非法登陆的作用。我认为使用验证码防止非法登陆,还不如密码错误10次,就禁止该IP30分钟内无法登陆,这样更好。比如discuz就是这样设计,我认为这样很好。
b.用户登陆后,密码是再经过key+base64加密,就是双重加密,别人不知道key是很难破解的。只要你数据库没被别人盗走,我认为是很安全的。(不过下个版本,考虑把MD5双重加密吧)
