话不多说 直接上正餐：

TP5 框架 其实自身就舍友对sql注入以及xss攻击的防御 

 sql注入 + xss攻击

位置 application/config.php 

// 默认全局过滤方法 用逗号分隔多个
'default_filter' => 'htmlspecialchars,addslashes',

htmlspecialchars：防止xss攻击 

addslashes：可以对sql注入进行防御

session  cookie盗窃

1:改名

对session名称进行更改 PHP中Session的默认名称是PHPSESSID 直接一点 名字你都猜不到 你还还想要我的东西？

2：追加内容后进行加密

 

$name=$_POST['HTTP_NAME'];
//对接收的值进行追加内容
$name.= 'THIRTEEN';
//使用 md5 加密
$name = md5($name);
//进行session 或 cookie 的保存
$_SESSION['token'] = $token;