## 安全建議
框架的安全性通常是非常重要的,而大部分的安全問題都來源于編碼人員對用戶輸入參數的信任而未作數據驗證,MixPHP 提供了驗證器來避免安全問題。
Web 方面通常的安全風險為:**SQL注入**、**跨站腳本攻擊**,下面分別介紹下 MixPHP 的安全機制。
### SQL注入
MixPHP 通過兩層機制來防止SQL注入:
- **驗證器**:使用驗證器,能對用戶的輸入做全面的驗證,使不安全的注入數據無法進入到數據庫去執行。
- **PDO組件**:該組件基于 pdo 擴展,組件內部封裝了 [語句預處理](http://php.net/manual/zh/pdo.prepared-statements.php) 功能,使SQL與參數分離,確保不會發生SQL 注入。
### 跨站腳本攻擊 (XSS)
跨站腳本攻擊通常是在 string 類型的字段進入數據庫,MixPHP 的模型驗證器有專門針對 XSS 的處理。
- **驗證器**:string 驗證器的 filter 參數提供了 'strip_tags', 'htmlspecialchars' 兩個方法專門用于過濾或轉義跨站腳本攻擊。
- 歡迎使用 MixPHP
- 安裝說明
- 全量安裝
- Phar 命令行
- 入門須知
- 增改應用
- 命名空間
- 自動加載
- 入口文件
- 配置文件
- 服務開發
- 核心基礎
- Bean
- Component
- Application
- 命令行
- 簡介
- 命令行開發常識
- 命令行開發
- 創建命令
- 命令參數
- 打印與顏色
- 控制臺程序
- 守護程序
- HTTP 服務
- 簡介
- 服務器
- 路由
- 請求
- 響應
- 控制器
- 視圖
- Auth
- Session
- 文件上傳
- 其他組件
- 分頁
- 驗證碼
- 圖片處理
- 客戶端
- GuzzleHttp
- 雜項
- Apache/PHP-FPM部署
- 調試與錯誤
- 安全建議
- WebSocket 服務
- 簡介
- 服務器
- 注冊器
- 連接
- 客戶端
- 測試
- 雜項
- nginx代理
- 60s無消息斷線
- TCP 服務
- 簡介
- 服務器
- 客戶端
- 測試
- UDP 服務
- 簡介
- 服務器
- 客戶端
- 測試
- 協程
- 簡介
- 開啟協程
- PHP Stream Hook
- xgo + Channel
- WaitGroup + xdefer
- 連接池
- 協程池
- 定時器
- 公共組件
- 中間件
- 驗證器
- 驗證器定義
- 驗證規則
- 靜態調用
- 模型
- 日志
- 緩存
- 數據庫
- Database
- QueryBuilder
- PDOConnection
- Persistent\PDOConnection
- Coroutine\PDOConnection
- MasterSlave\PDOConnection
- ExecuteListener
- Redis
- RedisConnection
- Persistent\RedisConnection
- Coroutine\RedisConnection
- ExecuteListener
- 常見問題
- 同一臺服務器部署多個服務
- 連接多個數據庫
- 如何設置跨域
- form-data 上傳文件失敗
- 開發工具
- 版本更新
- 不兼容改動
- 升級指南
- 文檔歷史