永远不要相信客户端提交的数据，所以对于输入数据的过滤势在必行，我们建议：

• 开启令牌验证避免数据的重复提交；
• 使用自动验证和自动完成机制进行初步过滤；
• 使用系统提供的[safe_input函数]获取用户输入数据；
• 对不同的应用需求设置不同的安全过滤函数，常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等；

使用safe_input函数过滤

使用系统内置的 [safe_input函数 是避免输入数据出现安全隐患的重要手段，safe_input函数默认的过滤方法是 htmlspecialchars ， 如果我们需要采用其他的方法进行安全过滤，有两种方式：如果是全局的过滤方法，那么可以设置DEFAULT_FILTER，例如：

'DEFAULT_FILTER'        =>  'strip_tags',

设置了DEFAULT_FILTER后，所有的I函数调用默认都会使用 strip_tags 进行过滤。 当然，我们也可以设置多个过滤方法，例如：

'DEFAULT_FILTER'        =>  'strip_tags,stripslashes',

预防SQL注入

对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如：

$User = new User(); // 实例化User对象
$User->find($_GET["id"]); 

即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是因为，系统会对数据进行强制的数据类型检测，

并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，

ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)，如果你采用PDO方式的话，还支持参数绑定。

通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入。

要有效的防止SQL注入问题，我们建议：

• 查询条件尽量使用数组方式，这是更为安全的方式；
• 如果不得已必须使用字符串查询条件，使用预处理机制；
• 使用自动验证和自动完成机制进行针对应用的自定义过滤；

查询条件预处理

where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：

$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
// 或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

模型的query和execute方法 同样支持预处理机制，例如：

$model->query('select * from user where id=%d and status=%d',$id,$status);
//或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));

execute方法用法同query方法。

下面的一些安全建议也是非常重要的：

• 对所有公共的操作方法做必要的安全检查，防止用户通过URL直接调用；
• 不要缓存需要用户认证的页面；
• 对用户的上传文件，做必要的安全检查，例如上传路径和非法格式；
• 如非必要，不要开启服务器的目录浏览权限；
• 对于项目进行充分的测试，不要生成业务逻辑的安全隐患（这可能是最大的安全问题）；
• 最后一点，做好服务器的安全防护；