永遠不要相信客戶端提交的數據，所以對于輸入數據的過濾勢在必行，我們建議： - 開啟[令牌驗證](#)避免數據的重復提交； - 使用[自動驗證](#)和[自動完成](#)機制進行初步過濾； - 使用系統提供的[I函數](#)獲取用戶輸入數據； - 對不同的應用需求設置不同的安全過濾函數，常見的安全過濾函數包括stripslashes、htmlentities、htmlspecialchars和strip_tags等； ## 使用I函數過濾 使用系統內置的`I函數`是避免輸入數據出現安全隱患的重要手段，I函數默認的過濾方法是`htmlspecialchars`，如果我們需要采用其他的方法進行安全過濾，有兩種方式： 如果是全局的過濾方法，那么可以設置DEFAULT_FILTER，例如： ~~~ 'DEFAULT_FILTER' => 'strip_tags', ~~~ 設置了DEFAULT_FILTER后，所有的I函數調用默認都會使用`strip_tags`進行過濾。 當然，我們也可以設置多個過濾方法，例如： ~~~ 'DEFAULT_FILTER' => 'strip_tags,stripslashes', ~~~ 如果是僅需要對個別數據采用特殊的過濾方法，可以在調用I函數的時候傳入過濾方法，例如： ~~~ I('post.id',0,'intval'); // 用intval過濾$_POST['id'] I('get.title','','strip_tags'); // 用strip_tags過濾$_GET['title'] ~~~ > 要盡量避免直接使用$_GET $_POST $_REQUEST 等數據，這些可能會導致安全的隱患。 就算你要獲取整個$_GET數據，我們也建議你使用 `I('get.')` 的方式 ## 寫入數據過濾 如果你沒有使用I函數進行數據過濾的話，還可以在模型的寫入操作之前調用**filter**方法對數據進行安全過濾，例如： ~~~ $this->data($data)->filter('strip_tags')->add(); ~~~