输入数据处理 - DzzOffice 笔记

系统对用户输入数据做了以下的处理增强系统安全：
$_GET和$_POST的值默认不做addslashes处理
$_GET为$_GET和$_POST数组的合并，代码中统一使用$_GET取值
过滤REQUEST_URI中的特殊字符，防止XSS攻击
addslashes函数在使用此值时信任外部数据的安全性，但这样处理的弊端是容易生产二次注射的漏洞，为了防止此类漏洞的产生，函数必须不信任任何数据外部数据的安全性，config.php中有兼容开关（ $_config['input']['compatible'] = 1;），1为开启。开启后即可使用$_GET和$_POST集合的所有变量名，值为已经addslashes()处理过，兼容插件。