在application下的config.php配置文件中加入默认的过滤方式。
设置htmlspecialchars后,所有的用户输入都会被转换成实体存储到数据库
// 默认全局过滤方法 用逗号分隔多个,
常见的安全过滤函数包括stripslashes(转换反斜杠)、htmlentities(会将中文转换成乱码)、htmlspecialchars(将html标签转换成实体)和strip_tags(过滤掉标签)等
‘default_filter’ => ‘htmlspecialchars’,
在某些模板中需要以html显示的地方再使用htmlspecialchars_decode将实体转换为html标签,例如:{$cates.content|htmlspecialchars_decode}