温泉PHP网络授权系统

关于温泉PHP网络授权系统最严重的bug

INSERT INTO sq_admin (ID, username, password, loginip, logintime, qq, lastaccesstime, accesstoken) VALUES (NULL, '温泉', MD5('123456789'), '', unix_timestamp(now()) , '80071319', unix_timestamp(now()), 'JjYBHCBSNeuoNnkTVRCf5EENhZWDcolJOh7MQlmV9pn4S4p4SZFHJaSH75MBK3OZ');

这一段就是安装说明里的sql执行例子，很多人在安装的时候并没有重新生成accesstoken或修改，有的直接不填写，这样会导致某些人利用accesstoken直接进入后台

解决办法生成accesstoken值，或者修改后台路径

最好的办法就是修改代码，域名/admin/ajax.php，在调用accesstoken接口时，设置SESSION前就给他返回拒绝，这样就可以避免后台入侵

这套授权系统已经很长时间了，非必要还是不要用，除非你会修改代码和修bug