雖然易優(yōu)cms內(nèi)核pthinkphp5.0的底層安全防護(hù)比之前版本要強(qiáng)大不少,但永遠(yuǎn)不要相信用戶提交的數(shù)據(jù),建議務(wù)必遵守下面規(guī)則:
設(shè)置public目錄為唯一對(duì)外訪問(wèn)目錄,不要把資源文件放入應(yīng)用目錄;
開(kāi)啟表單令牌驗(yàn)證避免數(shù)據(jù)的重復(fù)提交,能起到CSRF防御作用;
使用框架提供的請(qǐng)求變量獲取方法(Request類(lèi)param方法及input助手函數(shù))而不是原生系統(tǒng)變量獲取用戶輸入數(shù)據(jù); 對(duì)不同的應(yīng)用需求設(shè)置default_filter過(guò)濾規(guī)則(默認(rèn)沒(méi)有任何過(guò)濾規(guī)則),常見(jiàn)的安全過(guò)濾函數(shù)包括stripslashes、htmlentities、htmlspecialchars和strip_tags等,請(qǐng)根據(jù)業(yè)務(wù)場(chǎng)景選擇最合適的過(guò)濾方法;
使用驗(yàn)證類(lèi)或者驗(yàn)證方法對(duì)業(yè)務(wù)數(shù)據(jù)設(shè)置必要的驗(yàn)證規(guī)則;
如果可能開(kāi)啟強(qiáng)制路由或者設(shè)置MISS路由規(guī)則,嚴(yán)格規(guī)范每個(gè)URL請(qǐng)求;版權(quán)聲明: 本站資源均來(lái)自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!
轉(zhuǎn)載請(qǐng)注明: 易優(yōu)cms用戶提交的數(shù)據(jù)規(guī)則說(shuō)明