TP框架中有自帶的防止xss（跨站腳步攻擊）、sql注入，在 application/config.php 中有個配置選項：

框架默認(rèn)沒有設(shè)置任何過濾規(guī)則，你可以是配置文件中設(shè)置全局的過濾規(guī)則：

// 默認(rèn)全局過濾方法 用逗號分隔多個
'default_filter' => 'htmlspecialchars,addslashes,strip_tags',

htmlspecialchars：防XSS攻擊，尖括號等轉(zhuǎn)義過濾

addslashes：防SQL注入，在每個雙引號（"）前添加反斜杠

strip_tags：剝?nèi)プ址械?HTML 標(biāo)簽

把這些參數(shù)加上后，每次請求后端的接口中，框架就會對請求的變量進(jìn)行自動過濾了。

也可以在獲取變量的時候添加過濾方法，例如：

Request::instance()->get('name','','htmlspecialchars'); // 獲取get變量 并用htmlspecialchars函數(shù)過濾

Request::instance()->param('username','','strip_tags'); // 獲取param變量 并用strip_tags函數(shù)過濾

Request::instance()->post('name','','org\Filter::safeHtml'); // 獲取post變量 并用org\Filter類的safeHtml方法過濾

可以支持傳入多個過濾規(guī)則，例如：

Request::instance()->param('username','','strip_tags,strtolower'); // 獲取param變量 并依次調(diào)用strip_tags、strtolower函數(shù)過濾

如果當(dāng)前不需要進(jìn)行任何過濾的話，可以使用（V5.0.3+版本） ps: 這個方法測試了下，好像沒有起作用，你們也可以試下

Request::instance()->get('name','',false); // 獲取get變量 并且不進(jìn)行任何過濾 即使設(shè)置了全局過濾

如果有用到富文本編輯器或其他類似的提交html標(biāo)簽的變量，可以使用：

 htmlspecialchars() 函數(shù)把預(yù)定義的字符轉(zhuǎn)換為 HTML 實體。

預(yù)定義的字符是：

& （和號）成為 &
" （雙引號）成為 "
' （單引號）成為 '
< （小于）成為 <
> （大于）成為 >
htmlspecialchars_decode() 函數(shù)把預(yù)定義的 HTML 實體轉(zhuǎn)換為字符。

會被解碼的 HTML 實體是：

& 解碼成 & （和號）
" 解碼成 " （雙引號）
' 解碼成 ' （單引號）
< 解碼成 < （小于）
> 解碼成 > （大于）
htmlspecialchars_decode() 函數(shù)是 htmlspecialchars() 函數(shù)的反函數(shù)。