分享一个终身免费的 ERP，给小企业的一些福利

<img id="imgVerify" src="Verify.ashx?Verify=GEFP" style="height:34px;width:150px;border-width:0px;">
登录验证码直接明文，囧

src="Verify.ashx?Verify=验证码"
就这技术还是不用了，绝对的火坑

</div>
</div>
</form>
</body>
</html>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><title>
登录 - Pushsoftxxxx
</title><link href="App_Themes/Access/jquery-ui-1.8.21.custom.css" type="text/css" rel="stylesheet" /><link href="App_Themes/Access/Style.css" type="text/css" rel="stylesheet" /></head>
<body>
<form name="form1" method="post" action="Login.aspx" id="form1">
<div>
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUJNzgzNDMwNTMzZGRKaBQ69IePC/q8MS3BI67BV2hVtg==" />
</div>

<div>
</div>
</form>
</body>
</html>


源码两个 html 标签？这写的太狗屎了

233....

好，楼主通报下公司，今天可能因为不可控原因，在线业务暂停一天，现在就开始上个高防

我不是技术出身，没太懂这是个什么问题？

@fs20
@gdsagdada

笑得停不下来

楼主初衷是好的， v2 也支持免费的东西，能开源就更好了，从你的系统看来很多地方需要改进，比如安全性问题， ERP 需要有足够的技术支持，安全性差 bug 修复不及时，还不如付费来的放心。天下没有免费的午餐！

免费的才是最贵的。

和开源的 odoo 相比有什么优势吗

@pushsoft #6 验证码是用来防机器人的。可是你把验证码放到页面源码里，那机器人一读不就知道了吗？连分析图片都不用。那你这验证码还有什么意义。

终身免费并不等于终身后期技术支持，小企业选东西也要看看背后有没有团队支持，国内几家做 ERP 的大公司产品都有很多 bug ，更别说你们公司的了。有钱能请大牛帮你们改进产品，不挣钱早晚会做不下去，放弃项目之前建议贡献给开源社区

体验帐套又是什么鬼..

这只是免费的一个简单 ERP 系列，针对小微型企业的。所以免费提供给市场。说实话，用的客户也不少，同行测试的也比较多，还真从来没遇到给从这个角度给出评价的。所以，我也是一脸懵逼。。。

另外，我们公司主营业务在另外一套 ERP 系统上，专业做服务模式的。


@gdsagdada

@efin 我不同意你这个说法。我觉得这两者并无必然联系，之前在知乎上也看过类似的问题，当然讨论的并不是 ERP ，不过并不影响，王維鈞的答案 https://www.zhihu.com/question/22084816/answer/46846498

@hgrx 就是可以先在线体验，觉得产品功能满足企业需求了，再自己下载安装授权。比较方便一点儿。

@UnisandK 别笑了，你笑的我很尴尬。。。

@SpicyCat 感谢，那这个验证码也就是个形式了？（可删除），因为这里也不存在机器人注册账号的问题。

@gdsagdada 天下是没有免费的午餐。
但是有免费的 ERP 平台（有灶+有柴+有锅+有米+有菜+有调料等），有能力自己就可以做出来一顿丰盛的午餐（没有能力的话，只能花钱请个厨子了）
如果需要创新菜，完全根据客户口味二次定制的，那肯定是有偿服务。
我觉得这对企业来说都无可厚非。

只是希望这个行业能够真正做到以服务为主，客户通过自身情况选择是否需要服务或者服务的内容，真正实现按需付费。

@pushsoft 哈哈哈哈哈没事这是你家开发的锅你跟着一起乐就行了

你不是搞技术的也不用硬去理解，大致来讲，验证码的意义在于人可以很轻易的分辨图片中的字母，但对程序是相对困难的事，这样在提升了一点点人登陆的困难之后会大幅提升程序模拟登陆过程的可能，因为程序输不对验证码。但像 1L 说的你们系统的验证码在网页代码里直接可以读到，对程序来说无法理解图片这个困难就消失了。所以验证码变成了只对人类走个形式。

真正的危险不在机器人注册账号，而是如果无法拦下程序模拟的登陆请求，我可以写一个程序挨个尝试所有的密码，直到试出正确的密码为止，这产生了安全上的隐患。

@UnisandK 受教了。关于这点，我也会反馈给我们技术。真心感谢。

有 notes 不用，来用这个。。。

来自 V2 FAQ: “我们非常欢迎创业者在这里发布自己的新作品。”
所以 V2 不反对且欢迎推广自家公司产品，
但是，请请发布在 “推广” 板块，而不是 “分享发现” 板块。

而且委实说， WebForm 技术栈应该抛弃了吧（？）

之前遇到过一个奇葩验证码是直接显示文本，你们验证码也是奇葩，看起来是图片，但是实际上还是能读到文本，这样的验证码只能对正常登录的用户造成一些障碍，对于机器来说形同虚设，你们公司的技术能把验证码设计成这样，要么是偷懒要么是压根不懂验证码的机制。

果然是免费的 哈哈…… 免费的永远是最贵的 因为你不知道会在哪里花钱（以及花多少钱）

@livid 麻烦移动到推广 谢谢~

我觉得楼主这个体验地址只是为了区分不同的体验账号进行登录，并不是真正的注册用户界面

所以明不明文无所谓吧？

好朴实的普实公司。网站端口不是 80 ？没备案？免费的可能更贵，公司是有成本的，总要有盈利模式的。

这种事楼主你还是反馈给你们领导吧，
你们的技术不可能不知道这样做不对，这种行为就好比改装防盗门的地方他装了一个看起来像门的门帘。
能偷懒到如此令人发指的地步，证明他完全没有职业道德。

这做法很危险
http://www.aio5.com:8182/AIO5/Verify.ashx?Verify=蛤蛤蛤

http://www.aio5.com:8182/AIO5/Verify.ashx?Verify=xxoo
这做法很新奇

拉鸡巴倒 哈哈

做这个 验证码 接口的人，是一个奇才。。辛辛苦苦生成个图片。。验证码都在 html 里写着。。这种水平，这个 ERP 系统敢用？？

支持一下 po ，人家分享推广是好事情，还是希望能包容一点

我发现很多做这种单页应用没有做页面路由
要么用 iframe ，要么用子视图，用起来体验很糟糕，现在都 2017 年了 = =#

看到这技术栈和页面风格，仿佛回到远古时代。。。十年前在 ERP 厂写的 Web Portal 都要比这个好，至少 Portlet 是能够拖动自由布局的。。。

@Tuisku 好的，不是很了解这个规则，第一次发，下不为例。
另外，不知道怎么移到推广下面。

@ic2y
@junp
@alicli

首先当然感谢专业人士指出这个问题，很多人说到这个图片验证码的问题，统一回复下：
①那个验证码是软件在申请时必须有的，也就是形式上的。
②这个软件也是经过专业机构认证过的。而且有专门的备案。
③即使真的有极端情况机器人挨个去验证密码。内网他也是无法登录的。

再者，这只是个软件测试地址，登录名和密码都是管理员设的。
每家企业登录的链接地址以及用户名和密码都是由企业在安装的时候自己去设定的。（而且是在系统内部设定的，每个登录名的权限也都不同）

这个不 @任何人，但针对某些个别人，评论区某些人的回答真的。。。不知道让人说什么好。本来是好意去分享一款自家的系列免费产品（跟市面上免费的单机版、阉割版确实有很大的区别，也受到了很多客户的认可。我想它应该是受欢迎的吧），对于这样的结果，我始料未及，说实话，有点想急于解释，但一时又不知道从哪儿开口好。

你对 ERP 这个行业了解多少？我们从 99 年做到现在也不是几十个人的小团队。难道一直在这个行业做的开发人员不如你？你能想到的别人都看不到？

对于评论区某些人提出的客观建议，会虚心接受，会主动去了解这块儿。也很感谢。

一直也不太喜欢去怼别人，但真的很不喜欢那些感觉有点幸灾乐祸的恶趣味。你除了在评论里发表你所谓的“高见”，你又为别人提供了什么有价值的东西？

@pushsoft #36
OW 已经帮你移动到推广节点下了

另：贵司对于验证码的解释未免牵强，我是做教育系统的，这种验证码敢上线第二天省厅就会拿西瓜刀把开发砍死（逃……

心疼楼主，运营被开发和产品害了。

你们技术估计是零时工，你问他敢不敢现身来 V 站，保证机关枪扫射，体无完肤。
你可以建议你们老板找点可靠年轻人重新搞下。

烂的不行

找一个靠谱的 CTO...

几十个人的小团队...
怀疑验证码是被拍脑袋产品给逼出来的
培训班出来的开发，也不会这么水吧...所以开发就是故意忽悠产品经理的...

以上是脑补出的

刚看到 回复
@pushsoft
http://www.aio7.com:8189/Pushi/
贵司的员工通道的入口，这是生产环境吧？
有心人真可以搞个字典来试你们的员工的账号……
例如试下 admin 用户， root 用户， 1001 用户，或者社工钓鱼拿员工的姓名拼音用户
配合字典，写段脚本暴力试密码……
这是个很大的安全漏洞
说实话，大家的评论，不是胡喷，不是不讲理，绝大部分实际上是在帮贵司找 bug ，帮你们发现产品的不足和问题,面对意见和建议，淡定点，你该感谢别人帮你指出问题才对

业务逻辑上大概看了一下，其实也还行吧。只是技术上可能确实有点...所以上面吐槽的都是技术上的一些问题。有点心疼楼主。

楼主公司 99 年到现在（阿里也是那年开始的），也算是国内很长寿的公司了，拿出来的产品还犯这么些个低级错误，有两种可能：
1 、被开发给坑了
2 、想通过免费产品先培养用户，等用户用上了一段时间数据都上去了，才发现有这些不大不小的问题，出于数据迁移的考了，“被迫”迁移到付费产品

我还是更愿意相信是第一种原因

ERP 谁敢用免费的..除非开源，还得有能力吃透

蛤蛤，这里的人根本不关心劳什子 ERP ，能找到几个 BUG 才让人开心

其实就验证码这个事来讲。。。。真的有问题

楼主不懂技术，这样给你科普一下吧，登录的验证码就是为了防止密码爆破，因为这东西是机器不能识别，而人类能识别，因此就可以有效的阻止机器穷举法爆破密码，而你们的技术人员完全不懂验证码的作用，你现在打开你的 chrome 的 console ，粘贴：$('#txtVerifyCode').val($('#imgVerify').attr('src').split('=')[1])，回车，看看验证码输入框变成了什么？你现在还觉得机器不能识别这个验证码了么？？？

@alwayshere 666666

楼主，他们也都是好意，这个验证码问题确实是个非常大的隐患，尤其是放公网里。
讲真，你们的技术负责人要对这个负责的。