输入安全
- 设置public目录为唯一对外访问目录,不能把资源文件放入到应用目录;
- 使用框架提供的请求变量获取方法(Request类的param方法及input助手函数)而不是原生系统变量获取用户输入的数据;
- 使用验证类或者验证方法对业务数据设置必要的验证规则;
- 设置安全过滤函数对用户输入的数据进行过滤处理。
htmlspecialchars()
此函数是将用户输入的所有信息原样输出。
避免用户输入的html,js等代码被浏览器解析影响服务器原来的功能,有效避免黑客攻击。
strip_tags()
函数默认删除字符串中所有html标签,也可以指定删除部分html标签。
<?php
$str = "<font color='red' size=7>Linux</font> <i>Apache</i> <u>Mysql</u> <b>PHP</b>";
echo strip_tags($str); //删除了全部HTML标签,输出:Linux Apache