雖然5.0的底層安全防護比之前版本要強大不少，但永遠不要相信用戶提交的數據，建議務必遵守下面規則：

• 設置public目錄為唯一對外訪問目錄，不要把資源文件放入應用目錄；
• 開啟表單令牌驗證避免數據的重復提交，能起到CSRF防御作用；
• 使用框架提供的請求變量獲取方法（Request類param方法及input助手函數）而不是原生系統變量獲取用戶輸入數據；
• 對不同的應用需求設置default_filter過濾規則（默認沒有任何過濾規則），常見的安全過濾函數包括stripslashes、htmlentities、htmlspecialchars和strip_tags等，請根據業務場景選擇最合適的過濾方法；
• 使用驗證類或者驗證方法對業務數據設置必要的驗證規則；
• 如果可能開啟強制路由或者設置MISS路由規則，嚴格規范每個URL請求；