开发文档–安全规约

开发文档--安全规约

【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据,比如查看他人的私信 内容、修改他人的订单。【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 说明:个人手机号码显示为:158****9119,隐藏中间 4 位,防止隐私泄露。【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入, 禁止字符串拼接 SQL 访问数据库。【强制】用户请求传入的任何参数必须做有效性验证。 说明:忽略参数校验可能导致:  page size 过大导致内存溢出  恶意 order by 导致数据库慢查询  任意重定向  SQL 注入  反序列化注入  正则输入源串拒绝服务 ReDoS 说明:Java 代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题

开发文档–安全规约最先出现在Python成神之路

版权声明:
作者:zhangchen
链接:https://www.techfm.club/p/7281.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>