最新版的tp默認沒有對數據進行過濾 我們需要在config.php配置過濾函數 ``` // 默認全局過濾方法 用逗號分隔多個 'default_filter' => 'htmlspecialchars', ``` 當然只是這個系統的過濾是不夠的，htmlspecialchars 不帶參數的時候僅適用于 html 標簽內容 這是很糟糕的做法，除了 htmlspecialchars，還得有 xml_specialchars，regex_specialchars，database_specialchars 等等，在入口處統一過濾或者轉義，是簡單粗暴很 low 的做法，它在讓你丟失原始數據的同時，并沒有真正避開危險。 正確的做法是在輸出的時候按照不同的位置進行相應的合適的處理（不僅限于后端） PDO prepare 并不能百分百防止注入。 1\. 要統一好整個網站，web 服務器，數據庫的編碼。 2\. $pdo->setAttribute(PDO::ATTR\_EMULATE\_PREPARES, false); 要記得設置 3\. 注意二級注入。比如用戶把帶危險的字符串先存進數據庫，如果你想在另外一個 SQL 語句里 concat 或者直接拼接那個帶危險的字符串，是可以注入的。 通過??mysql_real_escape_string()?來轉義防止攻擊數據庫 常見的還需要覆蓋的有 csrf、cookie 的種種安全問題，session 的種種安全問題，密碼安全等 要講安全，建議先通讀 owasp cheatsheet 系列