肯定不是，跟所见即所得一样都是方便用户的一种方法。

#79 @lincanbin :

回复#78 @ivanilla :

我坚定认为Markdown只是逼格的产物，实际体验远不如所见即所得。

回复#80 @ivanilla :

不见得是。

我目前也只是实现了邀请码和像WordPress那样的发送密码到邮箱而已，激活链接还没做。

不过我的密码加密方式是多重的，而且用到了MCrypt库，虽然有些人认为没有必要这样做。

#77 @lincanbin :

回复#76 @ivanilla :

注册邮件确认也未必不会加。

回复#82 @ivanilla :

用Bcrypt，token当然还是用MD5校验。

回复#83 @lincanbin :

只有这种一次性的东西才用MD5，MD5和SHA1都不安全，哪怕加盐的(你应该知道有cmd5这个网站)。

我还用到了AES。

回复#84 @ivanilla :

我知道不安全，但是还是相对性地安全。

回复#85 @lincanbin :

最安全的是，管理员的信息别放数据库里，放php文件里面。

回复#86 @ivanilla :

这样并不安全。

一个合格的网站，www用户对于程序自身应该是只能执行不能修改的。

回复#87 @lincanbin :

把特定文件权限改成400就行了，像drupal等都是这样的。

回复#88 @ivanilla :

不能特定，应该是整个程序文件都不应该可以被www修改。

回复#88 @ivanilla :

只要有一个可以改，就存在被攻破后注入木马的可能性。

回复#89 @lincanbin :

那要看具体情况。

回复#90 @lincanbin :

所以最好是装个WAF，但是也不能说高枕无忧了，有些过滤不够严格的WAF可以被绕过。

回复#91 @ivanilla :

从安全角度，配置文件只存常量。

回复#93 @lincanbin :

对，但是管理员密码可以加密再储存到文件里面。

回复#92 @ivanilla :

就算有WAF，配置文件也不应该用来存储可变数据。

回复#95 @lincanbin :

有些程序的配置文件会储存变量的，包括drupal，mediawiki等，不过可能会设置400权限。

回复#96 @ivanilla :

只要可以通过网站修改配置文件（PHP文件），那就是不安全的。

回复#97 @lincanbin :

这些都只能手动修改，管理员信息可以保存在单独的文件中。

我上面提到的建站程序是把管理员信息放在用户数据表的。

回复#98 @ivanilla :

数据就放数据库，不能改的就放常量配置文件。

如果配置文件里存管理员信息明文，那就更傻了。