安全建議 · MixPHP V2 開發指南

## 安全建議框架的安全性通常是非常重要的，而大部分的安全問題都來源于編碼人員對用戶輸入參數的信任而未作數據驗證，MixPHP 提供了驗證器來避免安全問題。 Web 方面通常的安全風險為：**SQL注入**、**跨站腳本攻擊**，下面分別介紹下 MixPHP 的安全機制。 ### SQL注入 MixPHP 通過兩層機制來防止SQL注入： - **驗證器**：使用驗證器，能對用戶的輸入做全面的驗證，使不安全的注入數據無法進入到數據庫去執行。 - **PDO組件**：該組件基于 pdo 擴展，組件內部封裝了 [語句預處理](http://php.net/manual/zh/pdo.prepared-statements.php) 功能，使SQL與參數分離，確保不會發生SQL 注入。 ### 跨站腳本攻擊 (XSS) 跨站腳本攻擊通常是在 string 類型的字段進入數據庫，MixPHP 的模型驗證器有專門針對 XSS 的處理。 - **驗證器**：string 驗證器的 filter 參數提供了 'strip_tags', 'htmlspecialchars' 兩個方法專門用于過濾或轉義跨站腳本攻擊。