ThinkPHP框架安全实现分析

malike

            ThinkPHP框架是国内比较流行的PHP框架之一，虽然跟国外的那些个框架没法比，但优点在于，恩，中文手册很全面。最近研究SQL注入，之前用TP框架的时候因为底层提供了安全功能，在开发过程中没怎么考虑安全问题。
一、不得不说的I函数
TP系统提供了I函数用于输入变量的过滤。整个函数主体的意义就是获取各种格式的数据，比如I('get.')、I('post.id')，然后用htmlspecialchars函数（默认情况下）进行处理。
如果需要采用其他的方法进行安全过滤，可以从/ThinkPHP/Conf/convention.php中设置：
'DEFAULT_FILTER'    => 'strip_tags',
//也可以设置多种过滤方法
'DEFAULT_FILTER'    => 'strip_tags,stripslashes',