## 安全建议
框架的安全性通常是非常重要的,而大部分的安全问题都来源于编码人员对用户输入参数的信任而未作数据验证,MixPHP 提供了验证器来避免安全问题。
Web 方面通常的安全风险为:**SQL注入**、**跨站脚本攻击**,下面分别介绍下 MixPHP 的安全机制。
### SQL注入
MixPHP 通过两层机制来防止SQL注入:
- **验证器**:使用验证器,能对用户的输入做全面的验证,使不安全的注入数据无法进入到数据库去执行。
- **PDO组件**:该组件基于 pdo 扩展,组件内部封装了 [语句预处理](http://php.net/manual/zh/pdo.prepared-statements.php) 功能,使SQL与参数分离,确保不会发生SQL 注入。
### 跨站脚本攻击 (XSS)
跨站脚本攻击通常是在 string 类型的字段进入数据库,MixPHP 的模型验证器有专门针对 XSS 的处理。
- **验证器**:string 验证器的 filter 参数提供了 'strip_tags', 'htmlspecialchars' 两个方法专门用于过滤或转义跨站脚本攻击。
- 欢迎使用 MixPHP
- 安装说明
- 全栈开发
- 微服务开发
- Phar 开发
- 如何部署
- 独立部署
- Nginx
- Supervisord
- 新手教程
- 命令行常识
- 进程管理
- 热更新
- 全局变量
- 调试程序
- 入门须知
- 命名空间
- 自动加载
- 入口文件
- 增改应用
- 自动补全 IDE
- 核心功能
- 配置 (manifest.php)
- 依赖注入
- 事件调度
- 验证器
- 验证器定义
- 验证规则
- 静态调用
- 日志 Monolog
- 缓存
- 协程
- 什么是协程
- 开启协程
- Runtime
- 简介
- 创建协程 xgo + Channel
- 创建协程 xgo + WaitGroup
- xgo
- xdefer
- Channel
- WaitGroup
- Timer + Ticker
- Signal
- Select
- Context
- WorkerPool
- 数据库
- Database
- Database
- Connection
- QueryBuilder
- ExecutedEvent
- Redis
- Redis
- Connection
- CalledEvent
- 命令行
- 简介
- Application
- 创建命令
- 命令参数
- 打印与颜色
- 守护进程
- 后台运行
- Web/API 应用
- 简介
- 编写一个接口
- 服务器
- 路由 FastRoute
- 中间件
- 请求
- 响应
- 文件上传
- 控制器
- 视图
- Auth
- Session
- Guzzle
- HTTP 404/500
- 安全建议
- WebSocket 应用
- 简介
- 服务器
- 客户端
- Client
- JavaScript
- Swoole
- nginx代理
- 60s无消息断线
- Micro 微服务
- 简介
- 编写一个微服务
- Mix Micro
- Go Micro
- gRPC
- JSON-RPC
- 服务注册
- 配置中心
- 熔断与降级
- 调用链追踪
- 服务限流
- Sync Invoke 同步调用
- 简介
- 服务器
- 客户端
- TCP 应用
- 简介
- 服务器
- 客户端
- Telnet
- PHP
- Swoole
- UDP 应用
- 简介
- 服务器
- 客户端
- NC
- Swoole
- 第三方接入
- EasyWeChat
- Sentry
- Doctrine Cache
- 常见问题
- 如何利用 CPU 多核
- 连接多个数据库
- 如何设置跨域
- form-data 上传文件失败
- 输出大于 2M 的文件失败