雖然5.0的底層安全防護比之前版本要強大不少，但永遠不要相信用戶提交的數據，建議務必遵守下面規則： * 設置`public`目錄為唯一對外訪問目錄，不要把資源文件放入應用目錄； * 開啟[表單令牌驗證](http://www.hmoore.net/manual/thinkphp5/193918)避免數據的重復提交，能起到`CSRF`防御作用； * 使用框架提供的請求變量獲取方法（Request類`param`方法及`input`助手函數）而不是原生系統變量獲取用戶輸入數據； * 對不同的應用需求設置`default_filter`過濾規則（**默認沒有任何過濾規則**），常見的安全過濾函數包括`stripslashes`、`htmlentities`、`htmlspecialchars`和`strip_tags`等，請根據業務場景選擇最合適的過濾方法； * 使用[驗證類或者驗證方法](http://www.hmoore.net/manual/thinkphp5/129320)對業務數據設置必要的驗證規則； * 如果可能開啟強制路由或者設置MISS路由規則，嚴格規范每個URL請求； * 表單合法性檢測 ## **表單合法性檢測** 在處理表單提交的數據的時候，建議盡量采用Think\\Model類提供的**create**方法首先進行數據創建，然后再寫入數據庫 ~~~ //創建數據時只保留nickname'和email，其他都將被丟棄 model('User')->field('nickname,email')->create(); model('User')->field(array('nickname,email'))->create(); ~~~