雖然易優(yōu)cms內(nèi)核pthinkphp5.0的底層安全防護比之前版本要強大不少，但永遠不要相信用戶提交的數(shù)據(jù)，建議務必遵守下面規(guī)則：

設置public目錄為唯一對外訪問目錄，不要把資源文件放入應用目錄；

開啟表單令牌驗證避免數(shù)據(jù)的重復提交，能起到CSRF防御作用；

使用框架提供的請求變量獲取方法（Request類param方法及input助手函數(shù)）而不是原生系統(tǒng)變量獲取用戶輸入數(shù)據(jù)； 對不同的應用需求設置default_filter過濾規(guī)則（默認沒有任何過濾規(guī)則），常見的安全過濾函數(shù)包括stripslashes、htmlentities、htmlspecialchars和strip_tags等，請根據(jù)業(yè)務場景選擇最合適的過濾方法；

使用驗證類或者驗證方法對業(yè)務數(shù)據(jù)設置必要的驗證規(guī)則；