Php 使用CURL发送和接收wp主题上的信息是否安全？

我正在开发一个WordPress主题，其中包含一个自己的实际安装脚本。这就是发生的事情

1.）用户从mysite下载theme.zip

theme.zip不包含主题本身，它包含安装脚本和使安装成功所需的所有文件

2.）现在用户将把theme.zip上传到他们的服务器（使用WP仪表板）

3.）一旦他们上传了theme.zip，他们将运行安装脚本，该脚本需要用户名和密码，存储在我的sql数据库中

//诡计多端

下面是安装脚本中发生的事情

用户输入用户名和密码后，一些变量（用户的用户名、密码和唯一id号）将发送到我的服务器上的php文件（使用curl）。然后，我的服务器将查看sql db并选择某一行（使用前面发送的唯一id号），然后检查用户的详细信息是否正确。如果详细信息正确，我的服务器将返回一些值为

TRUE

的变量（使用JSON encode/decode）。一旦用户服务器收到

TRUE

值，它将继续。如果它收到一个值

FALSE

，它将停止并抛出一个错误

一旦用户成功登录（我的服务器返回TRUE），那么另一个CURL函数将运行

此函数将向我的服务器上的另一个php文件发送唯一id。然后，php文件将复制放置在我的服务器上的文件夹，并使用唯一id号命名该文件，这样重复的文件夹将被称为“265851654”（包含所有主题内容），然后php脚本（在我的服务器上）将该文件夹压缩为.zip。压缩完成后，它会将一些信息（关于新生成的.zip在服务器上的位置的信息，准备下载）发送回用户服务器

然后，用户服务器将使用从我的服务器收到的信息生成下载链接并开始下载.zip文件。下载完成后，将运行另一个curl函数。此函数将执行与刚才解释的相同的操作，但它不会构建可供下载的.zip，而是删除.zip

现在它也做了大量的其他事情，但这一切都在用户方面

这安全吗？因为这个主题将提供给每个人，这意味着他们将能够看到curl函数和所有其他源代码，他们可以根据自己的意愿编辑它们

如果不安全的话，你能给我一些建议，帮助防止那些邪恶的人到处乱搞吗

---

谢谢

您应该记住几件事：

• 确保在调用cUrl的脚本中使用特定的 如果发生以下情况，参数停止或被服务器阻止（比方说，1小时） 标识连续5次失败
• 确保cUrl脚本还包含代理变量，如ip， 用户名和密码。有很多配置 需要这些
• 为每个下载的脚本创建一个md5sum文件，并将其保存在 你的磁盘。将磁盘上的文件中的md5sum与 新创建的。确保下一个请求相同文件的用户将 下载已经创建的，不要创建新的，因为它 不会加载服务器
• 尝试在服务器上使用两个不同的标识（如用户名/密码）来保护php脚本。这将使邪恶的ppl不容易找到进入服务器的路径

我肯定还有很多其他的东西，但这就是我现在所想的