# 输入过滤 [上一页](# "上一页")[下一页](# "下一页") 永远不要相信客户端提交的数据，所以对于输入数据的过滤势在必行，我们建议： - 开启令牌验证避免数据的重复提交； - 使用自动验证和自动完成机制进行初步过滤； - 使用系统Action类提供的_get _post _cookie等方法获取数据； - 对用户输入的数据进行有效（根据你的应用）的过滤，常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars等，官方的扩展类库中的ORG.Util.Input类则提供了更好的解决方法； ### 系统变量的全局过滤 系统变量的全局过滤功能，采用VAR_FILTERS 定义，默认为空，表示不进行任何过滤。 如果设置了VAR_FILTERS参数，对GET POST系统变量会进行过滤，例如：`'VAR_FILTERS'=>'htmlspecialchars'`也可以支持多个方法过滤，例如：`'VAR_FILTERS'=>'stripslashes,strip_tags'`注意如果系统变量存在多维数组的情况，设置的过滤方法要能够很好的支持多维数组过滤。 ### 表单数据合法性检测 使用create方法创建数据对象的时候，可以使用数据的合法性检测，有两种方式： **一、可以配置insertFields 和 updateFields属性** 可以分别为新增和编辑表单设置insertFields 和 updateFields属性 使用create方法创建数据对象的时候，不在定义范围内的属性将直接丢弃，避免表单提交非法数据。 insertFields 和 updateFields属性的设置采用字符串（逗号分割多个字段）或者数组的方式。 设置的字段应该是实际的数据表字段，而不受字段映射的影响。例如：`class UserModel extends Model{     protected $insertFields = array('account','password','nickname','email');     protected $updateFields = array('nickname','email'); }`定义后，调用add方法写入用户数据的时候，只能写入'account','password','nickname','email' 这几个字段，编辑的时候只能更新'nickname','email'两个字段。 在使用的时候，我们调用create方法的时候，会根据提交类型自动识别insertFields和updateFields属性：`D('User')->create();`**二、直接调用field方法** 如果不想定义insertFields和updateFields属性，可以在调用create方法之前直接调用field方法，例如，实现和上面的例子同样的作用： 在新增用户数据的时候，使用：`M('User')->field('account,password,nickname,email')->create();`而在更新用户数据的时候，使用：`M('User')->field('nickname,email')->create();`这里的字段也是实际的数据表字段。 field方法也可以使用数组方式。 使用字段合法性检测后，你不再需要担心用户在提交表单的时候注入非法字段数据了。 ### 写入数据过滤 可以在数据写入数据库之前调用filter方法对数据进行安全过滤，例如：`$this->data($data)->filter('strip_tags')->add();` [上一页](# "上一页")[下一页](# "下一页")