## 文件權限 * 強烈建議只給框架的（./apps/datas/ ）目錄及子目錄寫入權限，其它文件或文件夾禁止寫入。 * 如您使用的是MYSQL版，在安裝完程序后強烈建議請將數據配置文件（./apps/database.php）禁止寫入并刪除（./apps/admin/mysql.php）安裝文件。 * 通過DaiCuo后臺在線安裝插件應用時需要給（./apps）目錄添加寫入權限才能安裝，安裝完畢后請禁止（./apps）目錄及子目錄的寫入。 * 您在開發插件應用時，如果需要用到文件寫入功能，請將該文件保存至（./datas）目錄下，以保證使用者在禁止了其它目錄的寫入權限后能正常運行。 ## 后臺入口 * admin.php 為框架的后臺入口文件，為了防止暴力破解，建議修改為不容易猜到的文件名。 ## 輸入輸出 * DaiCuo框架在對表單字段的處理規則是"輸入不處理，輸出處理"，這樣的好處是方便開發者根據自己的應用場景統一進行擴展。 * 系統在處理用戶輸入的變量時未做任何處理直接存入數據庫，故所有模板或控制器輸出時請開發者使用呆錯提供的DcHtml函數處理。 ~~~ DcHtml($string); ~~~ * 如果您需要重定義框架的安全邏輯，只需要在您的應用配置文件里定義該配置為安全處理函數，所有的使用input輸入的字段都會進行安全轉換后存入數據庫。 ~~~ 'default_filter' => 'trim,htmlspecialchars_decode', ~~~ * 也可以在控制器初始化時定義輸入過濾函數。 ``` // 初始化 public function _initialize() { // 繼承上級 parent::_initialize(); // 移除HTML標簽 $this->request->filter('trim,strip_tags,htmlspecialchars'); } ``` ## 助手函數 * DcRemoveXss 字符串安全輸出去除xss漏洞 * DcDirPath 字符串安全輸出過濾目錄名稱不讓跳轉到上級目錄 * DcStrip 字符串安全輸出去除Html標簽 * DcHtml 字符串安全輸出轉義HTML實體