易优cms输入安全说明

虽然易优cms内核pthinkphp5.0的底层安全防护比之前版本要强大不少，但永远不要相信用户提交的数据，建议务必遵守下面规则：

设置public目录为唯一对外访问目录，不要把资源文件放入应用目录；

开启表单令牌验证避免数据的重复提交，能起到CSRF防御作用；

使用框架提供的请求变量获取方法（Request类param方法及input助手函数）而不是原生系统变量获取用户输入数据； 对不同的应用需求设置default_filter过滤规则（默认没有任何过滤规则），常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等，请根据业务场景选择最合适的过滤方法；

使用验证类或者验证方法对业务数据设置必要的验证规则；