在PHP中，接受GET过来的数据，大多都是需要进行先过滤，然后再进数据库中的，否则没有任何过滤直接插入数据库的话，是很容易受到攻击的，所以在PHP处理留言或者评论之类的项目中，我都是先把特殊之类的字符进行转义，然后在读取的时候，再进行反转义就OK了。

TP是一个非常好的框架系统，近期用得也是很频繁了，而在TP模板中，是可以直接GET接受数据的，{$_GET.id} {$Think.get.id} 这两种方式都没有任何过滤，容易被XSS。

建议使用I方法，{:I('get.id')}，这仅是一个小小的细节问题。建议官方默认都htmlentities一下，或者在手册里说明一下也好。