输入安全
虽然5.0的底层安全防护比之前版本要强大不少,但永远不要相信用户提交的数据,建议务必遵守下面规则:
-
设置
public
目录为唯一对外访问目录,不要把资源文件放入应用目录; -
开启表单令牌验证避免数据的重复提交,能起到
CSRF
防御作用; -
使用框架提供的请求变量获取方法(Request类
param
方法及input
助手函数)而不是原生系统变量获取用户输入数据; -
对不同的应用需求设置
default_filter
过滤规则(默认没有任何过滤规则),常见的安全过滤函数包括stripslashes
、htmlentities
、htmlspecialchars
和strip_tags
等,请根据业务场景选择最合适的过滤方法; - 使用验证类或者验证方法对业务数据设置必要的验证规则;
- 如果可能开启强制路由或者设置MISS路由规则,严格规范每个URL请求;
文档最后更新时间:2018-04-26 10:49:38
数据库安全 →
未解决你的问题?请到「问答社区」反馈你遇到的问题