create方法如果没有传值,默认取$_POST数据,如果用户提交的变量内容,含有可执行的html代码,请进行手工过滤。
$_POST['title'] = "<script>alert(1);</script>";
非法html代码可以使用htmlspecialchars进行编码,以防止用户提交的html代码在展示时被执行,以下是两种安全处理方法。
$_POST['title'] = htmlspecialchars($_POST['title']);
M('User')->create();
$data['title'] = $this->_post('title', 'htmlspecialchars');
M('User')->create($data);