如上图所示，当我们输出帖子列表或用户信息数据时，用户的密码和salt也会一并输出，随便一个插件都可以输出。虽然这个密码是经过加密的，且无法通过这两个数据就解密，但是还是防御一下为好。

为了确保Xiuno BBS在所有输出用户信息的地方都不包含用户密码和salt，我们可以创建一个插件，通过hook机制来修改用户数据，移除这些敏感信息。

以下是插件的目录结构和相关代码：

插件目录结构

plugin/

└── domi_secure_user/

├── conf.json

├── hook/

│ └── model_thread_format_end.php

│ └── model_user_find_by_uids_end.php

│ └── model_user_find_end.php

└── icon.png

安装插件

1. 将插件上传到你的Xiuno BBS的 plugin 目录下。
2. 登录后台，启用插件。

这样，当Xiuno BBS通过 user_format函数处理用户信息时，插件会通过hook机制移除用户信息中的密码和salt字段，确保输出的信息中不包含这些敏感信息。