虽然5.0的底层安全防护比之前版本要强大不少 但永远不要相信用户提交的数据 建议务必遵守下面规则:
- 设置
public目录为唯一对外访问目录 不要把资源文件放入应用目录; - 开启表单令牌验证避免数据的重复提交 能起到
CSRF防御作用; - 使用框架提供的请求变量获取方法(Request类
param方法及input助手函数)而不是原生系统变量获取用户输入数据; - 对不同的应用需求设置
default_filter过滤规则(默认没有任何过滤规则) 常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等 请根据业务场景选择最合适的过滤方法; - 使用验证类或验证方法对业务数据设置必要的验证规则;
- 如果可能开启强制路由或设置MISS路由规则 严格规范每个URL请求;
尊贵的董事大人
英文标题不为空时 视为本栏投稿
需要关键字 描述 英文标题