一、PHP 8.x 兼容性问题

1. 部分功能报错
   • 现象：顶部多功能组件、部分小工具、发表评论等功能在 PHP 8.0+ 版本中存在报错，导致功能异常。
   • 建议：全面适配 PHP 8.0-8.4 版本，修复兼容性问题，同时可进一步优化代码效率，提升页面生成速度。原本是Intel PHP7.4，生成页面耗时是500ms，切换到AMD PHP8.2后，我站的页面生成速度提到了230ms

二、搜索功能安全风险

1. 恶意内容留痕攻击
   • 现象：搜索结果页标题包含用户输入的恶意搜索内容，可能导致备案站点因违规内容被追责，但后台无相关过滤或屏蔽开关。
   • 建议：增加后台关键词过滤功能，支持正则或敏感词库配置，拦截违规搜索内容并提示用户，或者支持开关是否展示搜索内容（搜索内容指访客输入的内容，非搜索结果）。我对搜索功能做了修改，删除了标题等地方的搜索内容，对搜索蜘蛛UA进行限制，添加了结巴分词违禁词拦截，未登录需要滑动验证以及搜索缓存，但对方狗急跳墙，遇到了cc攻击，如下
2. 搜索 Box 的 CC 攻击风险
   • 现象：搜索框采用 AJAX 输出，导致可绕过搜索页面自己二开的自定义限制（如频率限制，验证码限制），直接通过 Ajax的URL，找到搜索表单，发起高频请求，导致服务器资源耗尽；且搜索框box代码加密，无法自行修改添加防护逻辑。(多提一嘴，ajax是最容易被攻击的对象，麻烦老唐检查一下那些可能被作为攻击漏洞的代码，增加限制优化一下，毕竟ajax那个文件是加密的)
   • 建议：
     • 因现有最好的搜索限制插件存在不良体验，在限制时整个网站都是不可访问的，所以我不再考虑那个插件，参考宝塔论坛机制，只为搜索功能独立添加请求频率限制（如几秒内最多X次搜索）。
     • 引入滑动验证或人机检测，对高频搜索触发验证，避免全局限制影响正常访问。

三、登录与安全防护

1. 登录入口攻击面
   • 现状：登录 URL 及第三方登录(QQ登录) URL 仍是攻击重点，通过部署WAF人机无感验证后，防护效果显著。
   • 建议：主题层面可默认集成基础防护（如登录失败次数限制、IP 锁定），降低用户部署成本。
2. GoLink 跳转安全
   • 现象：GoLink 使用的 Base64 加密形同虚设，URL 可直接明文拼接跳转，存在钓鱼或恶意跳转风险。
   • 建议：采用更安全的签名机制（如 HMAC 校验，Hsah 哈希，自定义盐值来加密，避免同主题，可以生成链接）。

四、验证码机制优化

• 现象：
  • 不同功能（如手机号注册、邮箱验证）共用同一验证码，当其中一个使用后未及时刷新，导致用户切换功能时需继续等待 60 秒发送验证码冷却时间（例如同时绑定手机和邮箱时，流程被迫延长 30 秒）。
• 建议：
  • 为不同功能模块分配独立验证码池，支持并行验证，只一个验证基本就是浪费时间。

五、前端性能与资源占用

1. 视频背景资源管理
   • 现象：幻灯片或顶部组件的视频背景在网页切至后台（不可见）时仍持续运行，消耗 CPU 资源；我尝试使用浏览器 API 暂停后，若长时间未返回页面，恢复视频失败，导致网页崩溃，需刷新网页，这将导致已输入的表单失效(短期内测试效果不错，可正常暂停恢复视频，但时间久了会出现问题)。
   • 建议：
     • 增加监听页面可见性变化（visibilitychange 事件），不可见时暂停视频，恢复可见后重新播放。
     • 增加异常恢复机制，避免网页崩溃。

六、浏览器兼容性问题

• 现象：基于Firefox火狐内核的手机浏览器客户端中，评论区无法识别输入法高度，随输入框自动顶起，影响交互体验。
• 建议：针对火狐内核调试逻辑，确保评论输入时适配，当然不一定只有评论输入框无法顶起，望网友们测试一下。

七、功能逻辑统一性

• 现象：未登录用户访问文章时，评论区默认隐藏，但用户中心的评论内容仍显示，且评论小工具未同步判断登录状态，导致逻辑不一致。这样的话还能减少未登录时的资源消耗，提高页面生成速度，对seo和访客更加友好。
• 建议：全局统一登录状态判断逻辑，未登录时隐藏所有评论入口及相关小工具。

八、后台编辑器客户端在不同宽度屏幕下图片异常拉伸

• 现象：例如电脑端浏览器客户端后台上传到文章的图片，在电脑浏览器客户端的编辑器看着没有问题，在手机端编辑中，图片被拉伸严重，缺少样式，与前台文章不统一。
• 建议：wordpress可能故意留这么一个缺陷，让主题定义图片样式的，建议统一样式，防止拉伸，为其添加width: auto属性。

欢迎评论区继续