×
基础获取ThinkPHPThinkPHP环境要求ThinkPHP目录结构ThinkPHP入口文件自动生成ThinkPHP模块ThinkPHP控制器ThinkPHP开发规范配置配置格式配置加载读取配置动态配置扩展配置批量配置

架构

模块化设计URL模式多层MVCCBD模式命名空间自动加载应用模式项目编译系统流程路由路由定义规则路由正则路由静态路由闭包支持实例说明

控制器

控制器定义前置和后置操作Action参数绑定伪静态URL大小写URL生成AJAX返回跳转和重定向输入变量请求类型空操作空控制器插件控制器操作绑定到类模型模型定义模型实例化字段定义连接数据库切换数据库分布式数据库支持连贯操作WHERETABLEALIASDATAFIELDORDERLIMITPAGEGROUPHAVINGJOINUNIONDISTINCTLOCKCACHECOMMENTRELATIONUSINGfetchSqlTOKENSTRICTINDEX命名范围CURD操作数据创建数据写入数据读取数据更新数据删除ActiveRecord字段映射

查询语言

查询方式表达式查询快捷查询区间查询组合查询统计查询SQL查询动态查询子查询自动验证自动完成参数绑定虚拟模型模型分层视图模型关联模型高级模型Mongo模型视图模板定义模板主题模板赋值模板渲染获取模板地址获取内容模板引擎模板变量输出系统变量使用函数默认值输出使用运算符标签库模板继承修改定界符三元运算包含文件内置标签比较标签范围判断标签IF标签Present标签Empty标签Defined标签Volist标签Assign标签Foreach标签Define标签For标签标签嵌套Switch标签import标签使用PHP代码原样输出模板注释模板布局模板替换调试调试模式异常处理日志记录页面TraceTrace方法变量调试性能调试错误调试模型调试缓存数据缓存快速缓存查询缓存SQL解析缓存静态缓存安全输入过滤表单合法性检测表单令牌防止SQL注入目录安全文件保护模板文件上传安全防止XSS攻击其他安全建议扩展类库扩展驱动扩展缓存驱动数据库驱动日志驱动Session驱动存储驱动模板引擎驱动标签库驱动行为扩展标签扩展Widget扩展应用模式部署PATH_INFO支持URL重写模块部署域名部署入口绑定替换入口专题SESSION支持Cookie支持多语言支持数据分页文件上传验证码图像处理RESTFulRPCSAE

微信SDK

WechatIP获取和定位附录常量参考配置参考升级指导鸣谢

输入过滤


永远不要相信客户端提交的数据,所以对于输入数据的过滤势在必行,我们建议:

  • 开启令牌验证避免数据的重复提交;
  • 使用自动验证自动完成机制进行初步过滤;
  • 使用系统提供的I函数获取用户输入数据;
  • 对不同的应用需求设置不同的安全过滤函数,常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等;

使用I函数过滤

使用系统内置的I函数是避免输入数据出现安全隐患的重要手段,I函数默认的过滤方法是htmlspecialchars,如果我们需要采用其他的方法进行安全过滤,有两种方式:

如果是全局的过滤方法,那么可以设置DEFAULT_FILTER,例如:

'DEFAULT_FILTER'        =>  'strip_tags',

设置了DEFAULT_FILTER后,所有的I函数调用默认都会使用strip_tags进行过滤。

当然,我们也可以设置多个过滤方法,例如:

'DEFAULT_FILTER'        =>  'strip_tags,stripslashes',

如果是仅需要对个别数据采用特殊的过滤方法,可以在调用I函数的时候传入过滤方法,例如:

I('post.id',0,'intval'); // 用intval过滤$_POST['id']
I('get.title','','strip_tags'); // 用strip_tags过滤$_GET['title']

要尽量避免直接使用$_GET $_POST $_REQUEST 等数据,这些可能会导致安全的隐患。 就算你要获取整个$_GET数据,我们也建议你使用 I('get.') 的方式

写入数据过滤

如果你没有使用I函数进行数据过滤的话,还可以在模型的写入操作之前调用filter方法对数据进行安全过滤,例如:

$this->data($data)->filter('strip_tags')->add();

分类导航

关注微信下载离线手册

bootwiki移动版 bootwiki
(群号:472910771)