回复#93 @lincanbin :

对，但是管理员密码可以加密再储存到文件里面。

回复#90 @lincanbin :

所以最好是装个WAF，但是也不能说高枕无忧了，有些过滤不够严格的WAF可以被绕过。

回复#89 @lincanbin :

那要看具体情况。

回复#87 @lincanbin :

把特定文件权限改成400就行了，像drupal等都是这样的。

回复#85 @lincanbin :

最安全的是，管理员的信息别放数据库里，放php文件里面。

回复#83 @lincanbin :

只有这种一次性的东西才用MD5，MD5和SHA1都不安全，哪怕加盐的(你应该知道有cmd5这个网站)。

我还用到了AES。

我目前也只是实现了邀请码和像WordPress那样的发送密码到邮箱而已，激活链接还没做。

不过我的密码加密方式是多重的，而且用到了MCrypt库，虽然有些人认为没有必要这样做。

回复#76 @ivanilla :

注册邮件确认也未必不会加。

肯定不是，跟所见即所得一样都是方便用户的一种方法。

回复#78 @ivanilla :

我坚定认为Markdown只是逼格的产物，实际体验远不如所见即所得。

回复#75 @lincanbin :

如果有这么好治也不会有这么多人“患病”了。

回复#71 @lincanbin :

我跟你的理念不一样。

我的理念是把更多的选择权留给用户，但是没用的功能我不会加。

你的理念是你认为用不到或者自己无法做到（比如注册邮件确认）的功能就不会加。

回复#71 @lincanbin :

我会提供一个标签，标签里面的内容会解析成markdown。

加这个只是给那些强迫症程序员使用的，其他人不用就无视呗。

回复#71 @lincanbin :

我会提供一个标签，标签里面的内容会解析成markdown。

加这个只是给那些强迫症程序员使用的，其他人不用就无视呗。

回复#68 @lincanbin :

就像你要加博客功能一样，我还真不知道论坛要博客功能干嘛，因为这是两种不同程序功能。

回复#68 @lincanbin :

你爱加不加，我肯定会自己做一个的。

回复#66 @lincanbin :

我肯定是做混合的，你可以选择用哪种。

回复#64 @lincanbin :

其实是否支持无所谓，我做CMS的时候加上试试看。

回复#60 @lincanbin :

邮箱也是你提供。

内嵌支持即可，不用多加按钮。

回复#57 @ivanilla :

GitHub的话，面向的不是普通客户。

回复#55 @lincanbin :

你说的是这个啊，你在买之前跟代购说一下帐号，他帮你买了之后会告诉你密码的，尽快改掉就行了。

回复#56 @lincanbin :

Github都支持，有什么糟糕的。