开发文档–安全规约
开发文档--安全规约
【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信 内容、修改他人的订单。【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:个人手机号码显示为:158****9119,隐藏中间 4 位,防止隐私泄露。【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入, 禁止字符串拼接 SQL 访问数据库。【强制】用户请求传入的任何参数必须做有效性验证。 说明:忽略参数校验可能导致: page size 过大导致内存溢出 恶意 order by 导致数据库慢查询 任意重定向 SQL 注入 反序列化注入 正则输入源串拒绝服务 ReDoS 说明:Java 代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题
开发文档–安全规约最先出现在Python成神之路。
共有 0 条评论