雖然5.0的底層安全防護(hù)比之前版本要強(qiáng)大不少，但永遠(yuǎn)不要相信用戶提交的數(shù)據(jù)，建議務(wù)必遵守下面規(guī)則：

• 設(shè)置public目錄為唯一對(duì)外訪問目錄，不要把資源文件放入應(yīng)用目錄；
• 開啟表單令牌驗(yàn)證避免數(shù)據(jù)的重復(fù)提交，能起到CSRF防御作用；
• 使用框架提供的請(qǐng)求變量獲取方法（Request類param方法及input助手函數(shù)）而不是原生系統(tǒng)變量獲取用戶輸入數(shù)據(jù)；
• 對(duì)不同的應(yīng)用需求設(shè)置default_filter過濾規(guī)則（默認(rèn)沒有任何過濾規(guī)則），常見的安全過濾函數(shù)包括stripslashes、htmlentities、htmlspecialchars和strip_tags等，請(qǐng)根據(jù)業(yè)務(wù)場(chǎng)景選擇最合適的過濾方法；
• 使用驗(yàn)證類或者驗(yàn)證方法對(duì)業(yè)務(wù)數(shù)據(jù)設(shè)置必要的驗(yàn)證規(guī)則；
• 如果可能開啟強(qiáng)制路由或者設(shè)置MISS路由規(guī)則，嚴(yán)格規(guī)范每個(gè)URL請(qǐng)求；