开发文档–安全规约

开发文档--安全规约

【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明：防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信 内容、修改他人的订单。【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。 说明：个人手机号码显示为:158****9119，隐藏中间 4 位，防止隐私泄露。【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定，防止 SQL 注入， 禁止字符串拼接 SQL 访问数据库。【强制】用户请求传入的任何参数必须做有效性验证。 说明：忽略参数校验可能导致：  page size 过大导致内存溢出  恶意 order by 导致数据库慢查询  任意重定向  SQL 注入  反序列化注入  正则输入源串拒绝服务 ReDoS 说明：Java 代码用正则来验证客户端的输入，有些正则写法验证普通用户输入没有问题

开发文档–安全规约最先出现在Python成神之路。