永远不要相信客户端提交的数据，所以对于输入数据的过滤势在必行，我们建议：1.令牌验证避免数据的远程提交；2.自动验证和自动完成机制进行初步过滤；3.户输入的数据进行有效（根据你的应用）的过滤，常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars等，官方的扩展类库中的ORG.Util.Input ... [详细]

XSS（跨站脚本攻击）可以用于窃取其他用户的Cookie信息，要避免此类问题，可以采用如下解决方案：1.过滤所有的JavaScript脚本；2.Html元字符，使用htmlentities、htmlspecialchars等函数；3.的扩展函数库提供了XSS安全过滤的remove_xss方法； ... [详细]

对于某些服务器开启了目录浏览权限的话，用户就可以直接在浏览器输入URL地址查看目录了。系统内建了目录安全文件机制，可以有效的解决此类问题。如果在入口文件里面定义了BUILD_DIR_SECURE常量为True，还会自动给项目目录生成目录安全文件（在相关的目录下面生成空白的htm文件），并且可以自定义安全文件的文件名DIR_SECURE_FILEN ... [详细]

因为模板文件中可能会泄露数据表的字段信息，有两种方法可以保护你的模板文件不被访问到：第一种方式是配置.htaccess文件，针对Apache服务器而言。把以下代码保存在项目的模板目录目录（默认是Tpl）下保存存为.htaccess。<Files*.html>OrderAllow,DenyDenyfromall< ... [详细]

ThinkPHP关联模型详解 ... [详细]

thinkphp使用ajax、jquery、Mysql实现了简单的客户端通信功能 ... [详细]

ThinkPHP采用GET方式获取中文参数查询无结果的解决方法 ... [详细]

上传图片--保存并显示图片--JS获取缩略图参数--提交位置参数--图片缩放保存类处理图片--保存截取的图片--更新数据库--跳转 ... [详细]

在TP中，我们对数据库操作时多数都是用TP提供的model去先创建一个表的映射实例，然后在对数据进行处理，但是不同的创建方法对数据的处理和信息的返回却有所不同。 ... [详细]

引用ThinkPHP2.0开发手册:ThinkPHP手册类型检查只是针对数据库级别的验证，所以系统还内置了数据对象的自动验证功能来完成模型的业务规则验证，而大多数情况下面，数据对象是由表单提交的$_POST数据创建。 ... [详细]

防止表单重复提交有很多种方法，其不外乎，客户端脚本防止刷新，服务端token验证等等，thinkphp内置了表单token验证，可以方便的防止表单重复提交 ... [详细]

Thinkphp是国人开发一个PHP框架，该框架相比国外的一些框架也毫不逊色。强大的ORM，插件，分组等功能让人爱不释手。 ... [详细]