Question

所有对 Web 应用的攻击都要传入有害的参数，因此代码安全的基础就是对传入的参数进行有效的过滤，比如像 SQL 注入漏洞，只要过滤到单引号，就能防御住大部分的 string 类型的 SQL 注入，只要过滤掉尖括号和单双引号也能过滤掉不少 XSS 漏洞，这种简单的过滤跟完全不过滤带来的效果是天壤之别，我们做的就是要细化这些过滤规则，通过横向扩展防御策略来拦截更多的攻击，不少第三方提供了这样的过滤函数和类，我们可以直接引用，另外 PHP 自身提供了不少过滤的函数，好好使用这些内置的函数也能达到非常好的效果。