版权声明:本文为ywcmoon原创文章,未经允许不得转载。 https://blog.csdn.net/qq_39251267/article/details/82379645
永远不要相信用户提交的数据:
- 设置public目录为唯一对外访问目录,不要把资源文件放入应用目录;
- 开启表单令牌验证避免数据的重复提交,能起到CSRF防御作用;
- 使用框架提供的请求变量获取方法(Request类param方法及input助手函数)而不是原生系统变量获取用户输入数据;
- 对不同的应用需求设置default_filter过滤规则(默认没有任何过滤规则),常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等,请根据业务场景选择最合适的过滤方法;
- 使用验证类或者验证方法对业务数据设置必要的验证规则;
- 如果可能开启强制路由或者设置MISS路由规则,严格规范每个URL请求;