（我喜欢其他登录方案）

关于DB转义的一些吹毛求疵：

您使用mysql_real_escape_string() 直接地首选方法是使用$wpdb->prepare() 或esc_sql().

更新查询最好由$wpdb->update()

我认为这是个好主意，但像往常一样，最大的弱点是人为因素，在这种情况下，手机本身可能会丢失、被盗或被拦截。您是否考虑过添加两层身份验证，如短信验证码（如gmail等）。或者一个更简单的替代方案是cookie+秘密单词。

另外，您能否在“关于”页面中提及生成二维码的算法？