修复多项安全漏洞

安全修复清单:
1. 验证码改为图片方式返回，防止明文泄露
2. CORS配置从环境变量读取，不再使用通配符"*"
3. VIP API添加@admin_required装饰器，统一认证
4. 用户登录统一错误消息，防止用户枚举
5. IP限流不再信任X-Forwarded-For头，防止伪造绕过
6. 密码强度要求提升(8位+字母+数字)
7. 日志不���记录完整session/cookie内容，防止敏感信息泄露
8. XSS防护：日志输出和Bug反馈内容转义HTML
9. SQL注入防护：LIKE查询参数转义
10. 路径遍历防护：截图目录白名单验证
11. 验证码重放防护：验证前删除验证码
12. 数据库连接池健康检查
13. 正则DoS防护：限制数字匹配长度
14. Account类密码私有化，__repr__不暴露密码

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

playwright_automation.py

@@ -907,7 +907,8 @@ class PlaywrightAutomation:
                             # 解析"共XXX记录"获取总数
                             if expected_total is None:
                                 import re
-                                match = re.search(r'共(\d+)记录', page_text)
+                                # 安全修复：限制数字匹配长度，防止ReDoS攻击
+                                match = re.search(r'共(\d{1,10})记录', page_text)
                                 if match:
                                     expected_total = int(match.group(1))
                                     self.log(f"[总数] 预期浏览 {expected_total} 条内容")