$Password   = Request('Post', 'Password');
...
$NewUserPassword = md5($Password . $NewUserSalt);

#19 @lincanbin :

回复#18 @ivanilla :

你搞错了，我的也是

md5(md5($password) . $salt)

回复#20 @ivanilla :

对，然而$Password本身就是MD5后的结果。

不信你可以直接

echo $Password;

第一次MD5在浏览器上完成——这是为了规避一些站长不上HTTPS导致的通信被窃取、密码明文泄露的问题。

回复#21 @lincanbin :

也就是说你在前端加密了密码？

https://segmentfault.com/q/1010000005343465/a-1020000005343584

参考下我的提问吧，没有那么安全。

我不知你有没有用一次性的token避免重复提交，如果有的话就没有多少问题。

回复#22 @ivanilla :

Hash不是加密。

你也可以看到你的提问的回答里有这么一句：

真正防止中间人除了HTTPS不要想别的

事实上也是如此。

至于重复提交，有验证码来着，而又一次性token，也无法避免Cookies被窃取。

这么做只是为了防止明文被直接窃取，真正要防止中间人，还是只有HTTPS。

回复#23 @lincanbin :

对，我就是让你看这个回答。

前端加密防不了中间人攻击的原因是，因为中间人可以直接提交加密之后的密码，一样可以通过。而且只是单一加密密码而已。

如果结合IP、timestamp等综合加密密码，并使用一次性token，就可以提高中间人攻击的难度。

回复#24 @ivanilla :

没用，只有HTTPS有用。

前端MD5一次，至少不会在请求包中出现明文，这是唯一的目的。

回复#25 @lincanbin :

没错，搞SSL双向认证，否则没啥用。

回复 #0 @agenge :

至少没https也不传输明文，还是有一点用的。

回复#11 @s80022 :

您好，请问你的DZ迁移到CF没有？ 如何迁移的，方便共享迁移过程吗？

回复#28 @agenge :

没有记录...毕竟有段时间了。

回复#29 @s80022 :

谢谢回复，能讲下大概的思路吗？  DZ 对应CF哪些表？

pre_forum_post

pre_forum_thread

carbon_posts

carbon_topics

其他的我懒得找，正在试HYBBS-BLOG模板没时间。

基本上连名称都差不多，找DZ的结构表，只取出需要的重建CB表就可以了。

理论上tag,帖子,回复,帐号都能迁移。

欢迎高手整个代码把DZ给转了，呵呵