@HanSonJ 恩恩，说回正题。

微博已经没搞头了，不会对楼主这个有任何威胁。

个人认为贴吧也不是你的竞品（这个还是看学校）。你的对手还是自己吧。感觉现在大家不怎么喜欢逛论坛（社区）。但对于某些主题的网站还是喜欢逛，比如说失物招领、二手市场这些是强需求的东西同学们比较喜欢，学校也比较支持。微信的微社区（有话题标签功能）是个强劲的对手，个人实践效果还不错，但微社区不知道为什么性能不是太好，可能还有其它原因，浏览量不是太高。

v2ex 也有看疑犯追踪的。赞

我觉得 Smaritan 和老头还是想得太简单了，以为杀死一拨人就行了，其实这回引起更大的反抗。人类不是那么简单。

@zhuziyi 楼主这种类似论坛的东西还是很危险的。出点啥事的话就蛋疼了。

微信号后面加个 2015

我还以为我浏览器有问题。。。

Node（至少大部分是）

认识的大神做的。

@est 非常抱歉，逻辑错误了。

还有就是才疏学浅，以为都是使用 sql 直接判断的。

@lincanbin 嗯，谢谢。这个我了解过。产品线上是使用mysqli类或者框架自身的参数绑定的方式。拼 sql 的方式几年前已经交过学费了，不过感觉学费还是交的不够。。。

@Daniel65536 这个我知道，一般账号也只允许字母或数字。而且分号会被mysql_real_escape_string过滤掉吧。

我的本意是若网站使用 SELECT count(*) FROM user WHERE username = '$username' AND password = '$password'; 这种方式的话“把你的密码设成 0x1234Ab，然后退出登录再登录，换密码 1193131 登录，如果登录成功，那么密码绝对是明文保存的没跑。”就不能说明网站是明文保存呀。

@evlos
@rwalle
@lincanbin
@66beta
@fashioncj
汗。。。求说清楚呀，我感觉我老板要开除我了。
肯定不直接拼sql，我也知道一点 sql 注入，但是一直浮于表面，求指点。
$password 拼 sql 之前肯定会 $password = sha1/md5($password+$salt) 。
账号（$username）的话一般有限制只能数字或者字母，然后自我安慰 mysql_real_escape_string() 一下（老感觉这个不靠谱）。
当然这样就只能提示账号或密码错误（不匹配）。

要看账号是不是存在，SELECT count(*) FROM user WHERE username = '$username'; 这样？看来账号也不能明文存。是不是可以可逆加密或者简单的 base64 编码一下。

@wangzhangup 这就不知道了，只是上次看见冷冷和 09 排了几盘，输了都很高兴。

@est 不是一般都数据库查询比较吗？SELECT count(*) FROM user WHERE username = '$username' AND password = '$password';

@wangzhangup 哈哈，不过冷冷不是要嫁给09吗？

其实还是平常敲代码很累（精力值下降），而打游戏更是要集中注意力，消耗精力，不然打输了了更心塞。还是看看主播们血崩比较开心。

上次就坑了一次。

所以现在不光是同步，还本地导出存一份。

只爱斗鱼看冷冷

int 还要设置值吗？直接 int(11)，设置啥都一样。

@iugo 看了楼主你的附言，哈哈，这是病得治呀。

其实我以前也这样，虽然说抠细节是很好，但会影响整个项目的进度，应当完成了90%的时候再回来抠细节。

代替语法在输出 HTML 页面上更加优雅，便于阅读，都是兼容的，也没有什么性能问题。
这有更多的介绍： http://codeigniter.org.cn/user_guide/general/alternative_php.html

当然，当你只写纯 PHP 时也用不上代替语法。