创建WordsFilterBehavior行为类

在 Application/Common/Beha vior/ 目录下新建 WordsFilterBeha vior.class.php 文件（TP5+ 需改为 WordsFilterBeha vior.php 并正确使用命名空间）。该类必须继承 think\Beha vior\Beha vior，核心方法 run() 接收一个引用参数 &$params——注意，这是框架传入的原始 POST/GET 数据快照，而非全局变量 $_POST。

引用符号 & 绝对不能遗漏，否则后续所有修改都不会真正影响请求数据。这一步踩坑的开发者不少，特此提醒。

实现递归清洗逻辑

在 run() 方法内部，调用私有方法 loopFilter() 对 $params 进行深度遍历：

① 先判断 is_string($params)，若是则直接进入敏感词过滤；

② 若为数组，则逐层 foreach，对每个值再次判断类型——遇到字符串才调用 filter()，遇到子数组则递归调用 loopFilter()；

③ 遇到对象、资源、布尔值等非标量类型，直接跳过，不传入 filter()，否则会触发警告导致程序崩溃。

严格判断类型这一步非常关键。深层嵌套的 JSON 字段或文件上传数组，如果被错误转义，会导致入库失败。经验表明，多数因过滤引发的线上问题，根源就在这里。

编写安全的敏感词过滤函数

方法一：基础 str_replace 批量替换

从配置文件读取 C('SENSITIVE_WORDS') 返回的字符串数组，用 str_replace($badWords, '***', $string) 一次性完成所有替换——比循环调用快 5 倍以上，适合词库规模小于 500 条的场景。

方法二：正则边界匹配防误杀

构造 '/\b('.implode('|', array_map('preg_quote', $words)).')\b/iu' 正则表达式，再用 preg_replace() 执行替换。注意 preg_quote 必须加，否则词库里带有英文点号或方括号等特殊字符时，正则编译会直接失败。

方法三：预处理防变体绕过

先用 preg_replace('/[\s\p{P}]+/u', '', $string) 清除所有空白符和标点符号，再进入核心匹配——这能拦截“傻@逼”“shǎ bī”这类变形输入，但会破坏原始格式，仅限纯文本内容场景使用。

【特别注意：如果框架已对 POST 数据执行过 htmlspecialchars()，必须先用 html_entity_decode() 还原，否则原始词库根本匹配不上编码后的字符串。这个坑在 TP5 某些版本中尤为常见。】

注册行为到系统入口

打开 Application/Common/Conf/tags.php（TP3.2）或 app/provider.php（TP6），在 action_begin 标签位置注入该行为：

TP3.2 写法：'action_begin' => array('Common\Beha vior\WordsFilterBeha vior')；

TP6 写法：在 provider.php 中添加 think\facade\Hook::listen('action_begin', $request->param()); 并绑定行为实例。

注册完成后，所有控制器的 input()、post()、param() 获取的数据，都已经是经过清洗的版本。这才是真正的“配置一次，全局生效”。