- 序言
- 基础
- 安装ThinkPHP
- 开发规范
- 目录结构
- 架构
- 架构总览
- 生命周期
- 入口文件
- URL访问
- 模块设计
- 命名空间
- 自动加载
- Traits引入
- API友好
- 配置
- 配置目录
- 配置格式
- 配置加载
- 读取配置
- 动态配置
- 独立配置
- 配置作用域
- 环境变量配置
- 路由
- 路由模式
- 路由定义
- 批量注册
- 变量规则
- 组合变量
- 路由参数
- 路由地址
- 资源路由
- 快捷路由
- 路由别名
- 路由分组
- MISS路由
- 闭包支持
- 路由绑定
- 绑定模型
- 域名路由
- URL生成
- 控制器
- 控制器定义
- 控制器初始化
- 前置操作
- 跳转和重定向
- 空操作
- 空控制器
- 多级控制器
- 分层控制器
- Rest控制器
- 自动定位控制器
- 资源控制器
- 请求
- 请求信息
- 输入变量
- 更改变量
- 请求类型
- 请求伪装
- HTTP头信息
- 伪静态
- 方法注入
- 属性注入
- 参数绑定
- 依赖注入
- 请求缓存
- 数据库
- 连接数据库
- 基本使用
- 查询构造器
- 查询数据
- 添加数据
- 更新数据
- 删除数据
- 查询方法
- 查询语法
- 链式操作
- where
- table
- alias
- field
- order
- limit
- page
- group
- having
- join
- union
- distinct
- lock
- cache
- comment
- fetchSql
- force
- bind
- partition
- strict
- failException
- sequence
- 聚合查询
- 时间查询
- 高级查询
- 视图查询
- 子查询
- 原生查询
- 查询事件
- 事务操作
- 监听SQL
- 存储过程
- 数据集
- 分布式数据库
- 模型
- 定义
- 模型初始化
- 新增
- 更新
- 删除
- 查询
- 聚合
- 获取器
- 修改器
- 时间戳
- 只读字段
- 软删除
- 类型转换
- 数据完成
- 查询范围
- 模型分层
- 数组访问和转换
- JSON序列化
- 事件
- 关联
- 一对一关联
- 一对多关联
- 远程一对多
- 多对多关联
- 多态关联
- 动态属性
- 关联预载入
- 关联统计
- 聚合模型
- 视图
- 视图实例化
- 模板引擎
- 模板赋值
- 模板渲染
- 输出替换
- 模板
- 模板定位
- 模板标签
- 变量输出
- 系统变量
- 请求参数
- 使用函数
- 使用默认值
- 使用运算符
- 三元运算
- 原样输出
- 模板注释
- 模板布局
- 模板继承
- 包含文件
- 标签库
- 内置标签
- 循环输出标签
- 比较标签
- 条件判断
- 资源文件加载
- 标签嵌套
- 原生PHP
- 定义标签
- 日志
- 介绍
- 日志驱动
- 日志写入
- 独立日志
- 日志清空
- 写入授权
- 错误和调试
- 调试模式
- 异常处理
- 抛出异常
- Trace调试
- 变量调试
- 性能调试
- SQL调试
- 远程调试
- 404页面
- 验证
- 验证器
- 验证规则
- 错误信息
- 验证场景
- 控制器验证
- 模型验证
- 内置规则
- 静态调用
- 表单令牌
- 安全
- 输入安全
- 数据库安全
- 上传安全
- 其它安全建议
- 杂项
- 缓存
- Session
- Cookie
- 多语言
- 分页
- 上传
- 验证码
- 图像处理
- 文件处理
- 单元测试
- 扩展
- 函数
- 类库
- 行为
- 驱动
- Composer包
- Time
- 数据库迁移工具
- Workerman
- MongoDb
- SAE
- 标签扩展
- 命令行
- 自动生成目录结构
- 创建类库文件
- 生成类库映射文件
- 生成路由缓存
- 清除缓存文件
- 生成配置缓存文件
- 生成数据表字段缓存
- 自定义命令行
- 部署
- 虚拟主机环境
- Linux 主机环境
- URL重写
- 附录
- 配置参考
- 常量参考
- 助手函数
- 升级指导
- 更新日志
在确保用户请求的数据安全之后,数据库的安全隐患就已经很少了,因为`5.0`版本的数据操作使用了PDO预处理机制及自动参数绑定功能,请确保:
* 尽量少使用数组查询条件而应该使用查询表达式替代;
* 尽量少使用字符串查询条件,如果不得已的情况下 使用手动参数绑定功能;
* 不要让用户输入决定要查询或者写入的字段;
* 对于敏感数据在输出的时候使用`hidden`方法进行隐藏;
* 对于数据的写入操作应当做好权限检查工作;
* 写入数据严格使用`field`方法限制写入字段;
* 对于需要输出到页面的数据做好必要的`XSS`过滤;