## 文件权限 * 强烈建议只给框架的（./apps/datas/ ）目录及子目录写入权限，其它文件或文件夹禁止写入。 * 如您使用的是MYSQL版，在安装完程序后强烈建议请将数据配置文件（./apps/database.php）禁止写入并删除（./apps/admin/mysql.php）安装文件。 * 通过DaiCuo后台在线安装插件应用时需要给（./apps）目录添加写入权限才能安装，安装完毕后请禁止（./apps）目录及子目录的写入。 * 您在开发插件应用时，如果需要用到文件写入功能，请将该文件保存至（./datas）目录下，以保证使用者在禁止了其它目录的写入权限后能正常运行。 ## 后台入口 * admin.php 为框架的后台入口文件，为了防止暴力破解，建议修改为不容易猜到的文件名。 ## 输入输出 * DaiCuo框架在对表单字段的处理规则是"输入不处理，输出处理"，这样的好处是方便开发者根据自己的应用场景统一进行扩展。 * 系统在处理用户输入的变量时未做任何处理直接存入数据库，故所有模板或控制器输出时请开发者使用呆错提供的DcHtml函数处理。 ~~~ DcHtml($string); ~~~ * 如果您需要重定义框架的安全逻辑，只需要在您的应用配置文件里定义该配置为安全处理函数，所有的使用input输入的字段都会进行安全转换后存入数据库。 ~~~ 'default_filter' => 'trim,htmlspecialchars_decode', ~~~ * 也可以在控制器初始化时定义输入过滤函数。 ``` // 初始化 public function _initialize() { // 继承上级 parent::_initialize(); // 移除HTML标签 $this->request->filter('trim,strip_tags,htmlspecialchars'); } ``` ## 助手函数 * DcRemoveXss 字符串安全输出去除xss漏洞 * DcDirPath 字符串安全输出过滤目录名称不让跳转到上级目录 * DcStrip 字符串安全输出去除Html标签 * DcHtml 字符串安全输出转义HTML实体