# 安全规范 * 为防止 XSS 漏洞，对于输出到页面中的某些变量务必进行 dhtmlspecialchars() 过滤 * 所有文件开头都要有 IN_DISCUZ、IN_ADMINCP 判断（个别 api 接口文件除外） * 所有参与文件操作的 GET、POST、Request、Cookie 变量和 getgpc() 函数获取的变量都要进行安全过滤和合法性验证（如以上变量作为被操作文件的路径或文件名称时） * 根据 Discuz! 版本的不同和数据库操作方式的不同，所有涉及数据库操作的 GET、POST、Request、Cookie 变量和 getgpc() 函数获取的变量都要进行安全过滤 * 对系统敏感数据表如 post、thread、member 表的 SQL 操作，要注意效率问题，建议创建新表，而不是添加字段