我也说说发卡的事吧

之前用了某mjj的发卡，一直很好用。然后某一次接了个小活，正好需要用户系统和后台。于是就直接用这个发卡的源码魔改了一套系统出来。。。再后来，做测试的时候，发现代码有bug

bug很简单，利用成功的话，效果是不需要密码就可以用管理员的身份进后台。。。利用的条件是，知道后台登陆地址就可以

其实，从代码逻辑上看，我觉得应该不是作者故意的。只是个bug而已。

比较重要的业务，最好要用成熟的商业源码，或者要自己读一读比较关键的部分，有时候做一些非常简单的测试就可以发现漏洞
甘肃网友:如果是ZFAKA
它的文档已经做过安全说明了
包括改后台
甘肃网友:具体是哪个发卡你倒是说出来让mjj放心呀
云南网友:看来还是得改改后台地址
……
安徽网友:嗯，说的在理
澳门网友:zfaka？？？
湖北网友:说出来不是害了更多的人？我发现的那个漏洞，改管理地址可破，只要让攻击者猜不到管理地址就行
湖北网友:为啥我改了那三个地方后访问404呀！
香港网友:应该是
上海网友:
这货改地址很麻烦，不仅首字母要求大写，改了地址还得改两个配置文件。每次升级也得再改，按照教程修改完就没问题了，我这ok的