## 安全建议
框架的安全性通常是非常重要的,而大部分的安全问题都来源于编码人员对用户输入参数的信任而未作数据验证,MixPHP 提供了验证器来避免安全问题。
Web 方面通常的安全风险为:**SQL注入**、**跨站脚本攻击**,下面分别介绍下 MixPHP 的安全机制。
### SQL注入
MixPHP 通过两层机制来防止SQL注入:
- **验证器**:使用验证器,能对用户的输入做全面的验证,使不安全的注入数据无法进入到数据库去执行。
- **PDO组件**:该组件基于 pdo 扩展,组件内部封装了 [语句预处理](http://php.net/manual/zh/pdo.prepared-statements.php) 功能,使SQL与参数分离,确保不会发生SQL 注入。
### 跨站脚本攻击 (XSS)
跨站脚本攻击通常是在 string 类型的字段进入数据库,MixPHP 的模型验证器有专门针对 XSS 的处理。
- **验证器**:string 验证器的 filter 参数提供了 'strip_tags', 'htmlspecialchars' 两个方法专门用于过滤或转义跨站脚本攻击。
- 欢迎使用 MixPHP
- 安装说明
- 全量安装
- Phar 命令行
- 入门须知
- 增改应用
- 命名空间
- 自动加载
- 入口文件
- 配置文件
- 服务开发
- 核心基础
- Bean
- Component
- Application
- 命令行
- 简介
- 命令行开发常识
- 命令行开发
- 创建命令
- 命令参数
- 打印与颜色
- 控制台程序
- 守护程序
- HTTP 服务
- 简介
- 服务器
- 路由
- 请求
- 响应
- 控制器
- 视图
- Auth
- Session
- 文件上传
- 其他组件
- 分页
- 验证码
- 图片处理
- 客户端
- GuzzleHttp
- 杂项
- Apache/PHP-FPM部署
- 调试与错误
- 安全建议
- WebSocket 服务
- 简介
- 服务器
- 注册器
- 连接
- 客户端
- 测试
- 杂项
- nginx代理
- 60s无消息断线
- TCP 服务
- 简介
- 服务器
- 客户端
- 测试
- UDP 服务
- 简介
- 服务器
- 客户端
- 测试
- 协程
- 简介
- 开启协程
- PHP Stream Hook
- xgo + Channel
- WaitGroup + xdefer
- 连接池
- 协程池
- 定时器
- 公共组件
- 中间件
- 验证器
- 验证器定义
- 验证规则
- 静态调用
- 模型
- 日志
- 缓存
- 数据库
- Database
- QueryBuilder
- PDOConnection
- Persistent\PDOConnection
- Coroutine\PDOConnection
- MasterSlave\PDOConnection
- ExecuteListener
- Redis
- RedisConnection
- Persistent\RedisConnection
- Coroutine\RedisConnection
- ExecuteListener
- 常见问题
- 同一台服务器部署多个服务
- 连接多个数据库
- 如何设置跨域
- form-data 上传文件失败
- 开发工具
- 版本更新
- 不兼容改动
- 升级指南
- 文档历史