1.尽量少使用数组查询条件而应该使用查询表达式替代;2.尽量少使用字符串查询条件,如果不得已的情况下 使用手动参数绑定功能;3.不要让用户输入决定要查询或者写入的字段;对于敏感数据在输出的时候使用hidden方法进行隐藏;对于数据的写入操作应当做好权限检查工作;写入数据严格使用field方法限制写入字段;对于需要输出到页面的数据做好必要的XSS过滤;
