标签：安全 - 我的博客

标签：安全

带有该标签的已发布文章，共 8 篇

ThinkPHP 8 路由分组与后台权限设计

2026-06-06 17:30:00 发布 · PHP 开发 · 91 次阅读

从前台、后台、接口三个入口整理路由分组，并记录后台登录校验和未登录跳转的处理方式。本文会结合项目实践，重点记录后台路由统一放在 /admin 前缀下，便于权限中间件集中处理、写操作保持 POST，删除和保存都需要 CSRF等处理思路，方便后续开发和排错时复用。

2026-06-02 17:30:00 发布 · 安全笔记 · 180 次阅读

点赞不应只改数字，最好记录访客标识并限制重复点赞，同时给前端明确反馈。本文会结合项目实践，重点记录同一文章、同一访客只允许点赞一次、已点赞时用 layer.msg 给轻提示等处理思路，方便后续开发和排错时复用。

2026-05-31 17:30:00 发布 · PHP 开发 · 228 次阅读

文章编辑器允许插入代码块和图片，服务端渲染时需要对 HTML 做安全转义和白名单处理。本文会结合项目实践，重点记录代码块内容必须 htmlspecialchars、图片地址只允许可信目录或 http 链接等处理思路，方便后续开发和排错时复用。

2026-05-28 17:30:00 发布 · 安全笔记 · 296 次阅读

图片、音频、视频上传不能只相信文件后缀，后台还要限制大小、MIME 和存放目录。本文会结合项目实践，重点记录上传目录禁止执行脚本、文件名使用随机值，避免覆盖和路径猜测等处理思路，方便后续开发和排错时复用。

2026-05-27 17:30:00 发布 · 后端架构 · 98 次阅读

操作日志不需要记录敏感内容，但要能还原谁在什么时候做了什么关键动作。本文会结合项目实践，重点记录记录管理员、动作类型、简短描述和 IP、不要把密码、token、完整 Cookie 写进日志等处理思路，方便后续开发和排错时复用。

2026-05-25 17:30:00 发布 · 部署运维 · 144 次阅读

调试模式会暴露文件路径、框架信息和异常堆栈，生产环境应该使用自定义错误页。本文会结合项目实践，重点记录APP_DEBUG 设置为 false、错误页不要显示框架版本和手册链接等处理思路，方便后续开发和排错时复用。

2026-05-24 17:30:00 发布 · PHP 开发 · 167 次阅读

博客文章标题、分类、评论昵称都来自输入，模板默认转义能减少很多 XSS 风险。本文会结合项目实践，重点记录标题、昵称、分类名用 htmlspecialchars、正文 HTML 只输出服务端清洗后的内容等处理思路，方便后续开发和排错时复用。

2026-05-19 17:30:00 发布 · 安全笔记 · 282 次阅读

公开留言入口很容易被垃圾内容打扰，审核和频率限制是个人博客的基础保护。本文会结合项目实践，重点记录新评论默认待审核、同一 IP 短时间提交次数需要限制等处理思路，方便后续开发和排错时复用。