雖(sui)然5.0的底層(ceng)安全防(fang)護比(bi)之前版本(ben)要強大不少，但永(yong)遠不要相信用戶提交的數據，建議務必遵守下(xia)面規則：

• 設置public目錄為唯一對外訪問目錄，不要把資源文件放入應用目錄；
• 開啟避免數據的重復提交，能起到CSRF防御作用；
• 使用框架提供的請求變量獲取方法（Request類param方法及input助手函數）而不是原生系統變量獲取用戶輸入數據；
• 對不同的應用需求設置default_filter過濾規則（默認沒(mei)有任何(he)過濾規則(ze)），常見的安全過濾函數包括stripslashes、htmlentities、htmlspecialchars和strip_tags等，請根據業務場景選擇最合適的過濾方法；
• 使用對業務數據設置必要的驗證規則；
• 如果可能開啟強制路由或者設置MISS路由規則，嚴格規范每個URL請求；