修复多项安全漏洞

安全修复清单:
1. 验证码改为图片方式返回，防止明文泄露
2. CORS配置从环境变量读取，不再使用通配符"*"
3. VIP API添加@admin_required装饰器，统一认证
4. 用户登录统一错误消息，防止用户枚举
5. IP限流不再信任X-Forwarded-For头，防止伪造绕过
6. 密码强度要求提升(8位+字母+数字)
7. 日志不���记录完整session/cookie内容，防止敏感信息泄露
8. XSS防护：日志输出和Bug反馈内容转义HTML
9. SQL注入防护：LIKE查询参数转义
10. 路径遍历防护：截图目录白名单验证
11. 验证码重放防护：验证前删除验证码
12. 数据库连接池健康检查
13. 正则DoS防护：限制数字匹配长度
14. Account类密码私有化，__repr__不暴露密码

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

db_pool.py

@@ -65,7 +65,7 @@ class ConnectionPool:
 
     def return_connection(self, conn):
         """
-        归还连接到连接池 [已修复Bug#7]
+        归还连接到连接池 [已修复Bug#7, Bug#11]
 
         Args:
             conn: 要归还的连接
@@ -76,6 +76,8 @@ class ConnectionPool:
         try:
             # 回滚任何未提交的事务
             conn.rollback()
+            # 安全修复：验证连接是否健康，防止损坏的连接污染连接池
+            conn.execute("SELECT 1")
             self._pool.put(conn, block=False)
         except sqlite3.Error as e:
             # 数据库相关错误，连接可能损坏