值此传统佳节，我先送上迟到的祝福。

这一段时间，blog程序的更新速度放慢了，是由各方面原因造成的。2.0.2正式版本发布，可能还需要一些时间。当然，alpha版本随时可能会更新。

本着信息公开的原则，我就近期的一些安全性问题做一个简要的说明：

1. 关于后台上传shell问题：
的确存在这一潜在问题。这是因为模块自动安装允许直接执行PHP造成的。但是前提是：你的密码泄露，或者在公共场所没有及时登出blog，让人进入了后台。
这个问题会修补，但不见得能完全杜绝。因为写日志的时候是可以“上传附件”的。要绝对防止的话，建议关闭附件上传，完全靠FTP上传文件。

2. 关于登入/注册伪造session提升管理权限：
首先，2.0.2以前的注册、登入均不涉及session（在验证码打开的情况下，仅写入session用于验证码，注册时不会写入session）。2.0.2以后，session仅仅是cookie认证的一个辅助（即，要让session发挥作用，必须先cookie登入），注册时仍然和session无关。综上，session的作用不大，也不可能提升权限。

以上两点我均是反复检查代码，并与BMForum的开发者msxcms、sablog的开发者angel多次讨论后得出的结论。如果有新的发现或者问题严峻程度有发展，我会及时发布补丁。

如果您发现了问题的原因或者有更多的消息，请告诉我，以便了却这个始终如刺哽喉般的问题。这比大家胡乱猜策，却仍摸不着头脑的做法更有帮助。

自然，疑者不用，也是您的权利。