ThinkPHP 防止SQL注入

對於WEB應用來說，SQL注入攻擊無疑是首要防範的安全問題，系統底層對於資料安全方面本身進行了很多的處理和相應的防範機制，例如：

$User = M("User"); // 執行個體化User對象$User->find($_GET["id"]);

即便使用者輸入了一些惡意的id參數，系統也會自動加上引號避免惡意注入。事實上，ThinkPHP對所有的資料庫CURD的資料都會進行escape_string處理。

通常的安全隱患在於你的查詢條件使用了字串參數，然後其中一些變數又依賴由用戶端的使用者輸入，要有效防止SQL注入問題，我們建議：

查詢條件盡量使用數組方式，這是更為安全的方式；

開啟資料欄位類型驗證，可以對數值資料類型做強制轉換；

使用自動驗證和自動完成機制進行針對應用的自訂過濾；

欄位類型檢查、自動驗證和自動完成機制我們在模型部分已經有詳細的描述。

