<ruby id="bdb3f"></ruby>

    <p id="bdb3f"><cite id="bdb3f"></cite></p>

      <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
        <p id="bdb3f"><cite id="bdb3f"></cite></p>

          <pre id="bdb3f"></pre>
          <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

          <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
          <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

          <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                <ruby id="bdb3f"></ruby>

                ??碼云GVP開源項目 12k star Uniapp+ElementUI 功能強大 支持多語言、二開方便! 廣告
                # 安全建議 ## 輸入安全 雖然ThinkPHP的底層安全防護比之前版本要強大不少,但永遠不要相信用戶提交的數據,建議務必遵守下面規則: - 設置`public`目錄為唯一對外訪問目錄,不要把資源文件放入應用目錄; - 開啟表單令牌驗證避免數據的重復提交,能起到`CSRF`防御作用; - 使用框架提供的請求變量獲取方法(Request類`param`方法及`input`助手函數)而不是原生系統變量獲取用戶輸入數據; - 對不同的應用需求設置`default_filter`過濾規則(**默認沒有任何過濾規則**),常見的安全過濾函數包括`stripslashes`、`htmlentities`、`htmlspecialchars`和`strip_tags`等,請根據業務場景選擇最合適的過濾方法; - 使用[驗證類](354101)對業務數據設置必要的驗證規則; - 如果可能開啟強制路由或者設置MISS路由規則,嚴格規范每個URL請求; ## 數據庫安全 在確保用戶請求的數據安全之后,數據庫的安全隱患就已經很少了,因為數據操作默認使用了PDO預處理機制及自動參數綁定功能,請確保: - 盡量少使用字符串查詢條件,如果不得已的情況下 使用手動參數綁定功能; - 不要讓用戶輸入決定要查詢或者寫入的字段; - 不要讓用戶輸入決定你的字段排序; - 對于敏感數據在輸出的時候使用`hidden`方法進行隱藏; - 對于數據的寫入操作應當做好權限檢查工作; - 寫入數據嚴格使用`field`方法限制寫入字段; - 對于需要輸出到頁面的數據做好必要的`XSS`過濾; > 如果你使用的是`V5.1.10`以下版本,建議盡快更新到該版本(或者以上版本) ## 上傳 網站的上傳功能也是一個非常容易被攻擊的入口,所以對上傳功能的安全檢查是尤其必要的。 系統的`think\File`提供了文件上傳的安全支持,包括對文件后綴、文件類型、文件大小以及上傳圖片文件的合法性檢查,確保你已經在上傳操作中啟用了這些合法性檢查。 ## 其它的一些安全建議: - 對所有公共的操作方法做必要的安全檢查,防止用戶通過URL直接調用; - 不要緩存需要用戶認證的頁面; - 對用戶的上傳文件,做必要的安全檢查,例如上傳路徑和非法格式; - 對于項目進行充分的測試,不要生成業務邏輯的安全隱患(這可能是最大的安全問題); - 最后一點,做好服務器的安全防護,安全問題的關鍵其實是找到你的最薄弱環節; > 最后一點,及時關注官方安全更新,并更新到官方建議的安全版本,建議更新`V5.1.10+`版本,該版本包含安全更新。
                  <ruby id="bdb3f"></ruby>

                  <p id="bdb3f"><cite id="bdb3f"></cite></p>

                    <p id="bdb3f"><cite id="bdb3f"><th id="bdb3f"></th></cite></p><p id="bdb3f"></p>
                      <p id="bdb3f"><cite id="bdb3f"></cite></p>

                        <pre id="bdb3f"></pre>
                        <pre id="bdb3f"><del id="bdb3f"><thead id="bdb3f"></thead></del></pre>

                        <ruby id="bdb3f"><mark id="bdb3f"></mark></ruby><ruby id="bdb3f"></ruby>
                        <pre id="bdb3f"><pre id="bdb3f"><mark id="bdb3f"></mark></pre></pre><output id="bdb3f"></output><p id="bdb3f"></p><p id="bdb3f"></p>

                        <pre id="bdb3f"><del id="bdb3f"><progress id="bdb3f"></progress></del></pre>

                              <ruby id="bdb3f"></ruby>

                              哎呀哎呀视频在线观看