多应用+插件架构,代码干净,二开方便,首家独创一键云编译技术,文档视频完善,免费商用码云13.8K 广告
虽然5.0的底层安全防护比之前版本要强大不少,但永远不要相信用户提交的数据,建议务必遵守下面规则: * 设置`public`目录为唯一对外访问目录,不要把资源文件放入应用目录; * 开启[表单令牌验证](193918)避免数据的重复提交,能起到`CSRF`防御作用; * 使用框架提供的请求变量获取方法(Request类`param`方法及`input`助手函数)而不是原生系统变量获取用户输入数据; * 对不同的应用需求设置`default_filter`过滤规则(**默认没有任何过滤规则**),常见的安全过滤函数包括`stripslashes`、`htmlentities`、`htmlspecialchars`和`strip_tags`等,请根据业务场景选择最合适的过滤方法; * 使用[验证类或者验证方法](129320)对业务数据设置必要的验证规则; * 如果可能开启强制路由或者设置MISS路由规则,严格规范每个URL请求;