项目开发安全经验总结

最新推荐文章于 2024-08-13 11:06:52 发布
最新推荐文章于 2024-08-13 11:06:52 发布
阅读量4.3k 收藏 11
点赞数 3
分类专栏: PHP开发 项目管理 项目安全 文章标签: 项目安全 服务器安全 web安全 程序安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CaThi/article/details/86656902
版权
本文总结了项目开发中的安全经验,包括安全思维、服务器安全、Web应用安全、数据库安全等多个方面。强调了权限控制、日志记录、数据加密、定时备份、异常检测的重要性,并针对Nginx/Apache、Mysql、PHP环境以及Memcache/Redis的安全策略进行了详细阐述。
摘要由CSDN通过智能技术生成

项目开发安全经验总结

1、 安全思维

  • A)严格控制权限,最小业务授权;
  • B)记录详细日志,快速完整识别追查问题发生的位置;
  • C)定时备份(完整备份、每日增量备份),增加业务恢复可能;
  • D)数据通信加密(HTTPS+高级别SSL证书),数据保存加密(RSA 4096bits);
  • E)定时检测(特别是晚上10点到凌晨6点),关注异常行为。

2、 Linux/Windows服务器安全

a) 系统安全

  • i. 使用稳定高版本的成熟系统
  • ii. 定时升级软件,打补丁

b) 权限控制

  • i. 限制端口开放
  • ii. 限制ip访问(最好禁用IPv6,研究比较少)
  • iii. 限制各类应用,分别给予专用 用户名/用户组
  • Php: www用户 www用户组
最低0.47元/天 解锁文章
CaThi
关注
专栏目录
delphi开发webservice经验总结共8页.pdf
10-29
描述中的“delphi开发webservice经验总结共8页.pdf.zip”表明这是一个压缩文件,包含了一个8页的PDF文档,专门讨论了Delphi开发Web服务的实践经验。通常,这样的文档会提供实用的技巧、常见问题解决方案以及最佳实践...
ASP.Net新手项目经验
avm8523362的博客
05-06 196
  最近又在加班做项,中间出现了不少BUG搞得5.1还要加班修改,结合这些问题谈谈Asp.Net新手在参与项目时应该注意的事项(不谈技术-_-|||)!  首先,自己要有个很好的心态,把Coding当成一种乐趣,以激昂的热情付出120%的努力,你会发现写代码很过瘾,非常爽~~面对自己不懂的问题要不耻下问,不要怕别人知道自己的底牌,不懂无所谓,只要态度好我想大家会毫不吝啬的教你~~ (PS...
安全开发的朋友,不看机会交流经验也行
m0_50100439的博客
08-24 115
岗位职责: 1、参与自动驾驶车端网络安全方案的研究与设计; 2、参与IDC、云平台、容器集群、IoT、边缘计算中各类网络的安全研究与防御体系建设; 3、参与安全体系的研发和建设,包括安全研发、威胁检测、安全合规、漏洞应急响应等工作。 岗位要求: 1、熟悉Linux系统,了解安全相关的模块,如audit、netfilter等; 2、熟悉常见网络安全问题(系统安全Web安全、应用安全等),了解入侵手段及其检测技术; 3、熟练使用Python、Go、C/C++其中至少一种编程语言,具备良好的工程开发能力; 4、
26岁转行网络安全,成功上岸安全开发
最新发布
Button12138的博客
08-13 896
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
web项目开发安全规范
Jalen备忘录
09-14 2144
转自V型知识库(http://www.vxzsk.com/85/cate.html) 1. 【强制】可被用户直接访问的功能必须进行权限控制校验。 说明: 防止没有做权限控制就可随意访问、操作别人的数据,比如查看、修改别人的订单。 (权限和角色绑定) 2. 【强制】用户敏感数据禁止直接展示,必须对展示数据脱敏。 说明: 支付宝中查看个人手机号码会显示成:158****9119,
Web安全测试经验
sd2131512的专栏
05-29 1171
前言: 一个偶然的机会,有幸邀请到了一家国外专门做web安全的公司来对自己的web系统做安全测试。4周下来,我与几位安全专家多次沟通,完成了对自己系统的威胁建模,渗透测试,白盒测试,一共发现了28个漏洞。经验宝贵,因此有必要好好总结下。 Web应用程序是一个生态系统,从上至下包括Web Applications,Third-party Components,Web Server Con
我的.net项目经验(一)。
weixin_34080903的博客
05-15 623
  前年毕业开始,到公司后,主要做一些erp的二次开始和实施,虽然我很不喜欢做些,但是也经常加班加点,但是项目还是失败后,j2ee的,b/s,很烂,很慢,操作起来很麻烦,bug一大堆,没有任何系统日志,所以失败是理所当然。      一年前那到一个化工方便的项目,花了2个月进行调研和详细设计,回来后,继续搞那个erp,合作方(开发方)提供了最新版本,可是根本就没有解决问题。白浪费了几个月时间,本来...
项目开发总结报告.pdf
10-03
本文档为“High Go”智能购物车系统的开发总结报告,旨在总结项目开发过程中的经验,评价项目开发结果,和对整个开发工作的评价。本文档的主要内容包括项目背景、开发历时、版权信息、购物车车身设计、显示屏、无线...
智能仓储信息系统项目验收的经验教训总结
01-03
这篇总结报告将基于哈尔滨博实自动化有限公司在5G场景下研发的PP仓库全智能仓储管理系统项目,深入探讨其中的经验教训,为其他类似项目的实施提供参考。 1. 项目历程:项目从启动到完成,经历了需求分析、设计、...
软件开发经验总结-V21
08-08
【软件开发经验总结-V21】是一篇关于软件工程实践的总结,主要涵盖了需求阶段和设计阶段的关键要点,旨在提供一套有效的软件开发流程。 在**需求阶段**,首先需要明确要做什么,即定义项目的核心需求。这包括了通过...
安全研发管理
Frank_Yee的博客
04-22 1936
H公司今年在网络安全方面被西方国家针对,公司从2016年开始就不断在软件安全方面持续投入,引入了业界许多专家改进公司研发流程,保障安全要求能够在产品中落地;前段时间本人参与的产品,被选中参与英国UK认证,有幸参与了全流程的UK整改,现把UK整改的内容进行总结,供安全研发时参考。 UK整改涉及4个大的内容:配置管理,软件工程,安全工程,生命周期管理.全景图如下: 配置管理:来源...
项目开发中常见安全问题防范
codeSmart的博客
06-12 1015
背景 随着计算机网络技术的快速发展,Web应用技术在各个领域都得到了广泛的应用,但是由于不法分子针对Web应用程序相关安全漏洞的挖掘利用及恶意攻击手段的层出不穷,而与此同时国内Web应用开发人员水平参差不齐,很多开发人员安全意识淡薄,导致Web应用存在各种各样的安全漏洞,使得Web应用程序在给用户提供简便、快捷服务的同时,用户不得不为其自身可能存在的Web安全问题而担忧。主要针对Web项目中常见的安全问题进行深入的研究与分析,并对提出的各种安全问题给出了一些有效的解决方案。 安全常见问题及防范 1.输入检查
安全研发必备的安全知识
xxx
10-09 1269
互联网上安全开发的资料不多,很多时候查资料只能查个大概,核心的东西还是得自己摸索,所以,具备一定的数据结构和算法的能力是必不可少的。目前我工作中使用到的顺丰有如下几种:1、动态规划2、树的遍历,图的遍历3、字典树4、字符串相关算法(正则表达式也是一种算法)等等。
开发安全运营项目学习笔记
战神/calmness的博客
01-06 276
概况 ——某软件 开始不太了解项目,目的不明确,客户也不太明确自己的想法;多次沟通多次尝试;国内外不一样;从小到大的点入手【app合规】;安全投入还可以;企业文化不一样; SDL项目(能力输出、运营服务) 有大量国外的法律法规要求【美资公司,开发中国人,业务大部分国外】 带头人是开发负责人,实际运营 想做SDL但没有合适的入手点 总体上是 :安全工作不全面,不闭环。没长远规划;安全漏洞发现不及时,不完整; 安全风险的缓解和预防,不能起到长期作用; 亮点 结果为导向(做与不做的区别) 陪伴式
关于安全校验代码的一些心得
超胆孤侠
11-05 623
文章目录前言try catch 的使用 前言 我以前写代码的时候没有这个意识 但是看视频教程或者看其他人写的代码,发现前面都有一大堆这些冗杂代码,可能核心代码只有一两句 比如说,判断字典是否为空,按钮是否重复点击,try catch 等等诸如此类 我一开始只是生搬硬套,后来突然顿悟,对于这个出现的问题,到底是应该给出警告,还是直接错误呢,这完全是由我们写代码的人根据上下文的语境自己定义的 譬如说...
页游项目开发中的一些经验和教训
txiejun的专栏
04-15 2356
(2010年3月31日) 一、程序开发本身 1.      Cairngorm 框架的使用不够清晰,导致代码可读行降低。在cairngorm框架中大量的加入逻辑处理,使整个框架的耦合度以及代码的沉余大大的提升,建议能够把逻辑处理单独的提出来要调用逻辑的地方使用接口进行衔接。 2.      页面之间相互调用频繁,建议采用事件进行通信,降低各模块之间的耦合度。 3.      模块划分不
开发人员安全问题_开发人员需要了解的安全
cuml0912的博客
07-01 352
开发人员安全问题 DevOps并不意味着每个人都必须是开发和运营方面的专家。 在角色往往更专业的大型组织中尤其如此。 而是,DevOps思维的发展方式使其更加关注关注点分离。 在一定程度上,运营团队可以为开发人员(无论是本地部署还是在公共云中)部署平台,并且可以避开障碍,这对两个团队都是好消息。 开发人员可以获得高效的开发环境和自助服务。 操作可以集中在保持底层管道运行和维护平台上。 这是各...
小议团队工作流程
ztchen的专栏
08-16 1170
今天正好看到关于团队合作的工作流程问题,起因于一帖对美工与程序员的疑问,我突然有感于一种强烈的思想,所以觉得现在项目团队一定要更科学合理地来分角色,做到各司其职,方能避免陷入作坊式开发,从而发挥更大效率,并且,我始终以现有的团队来贯彻这样的思路。我就大致描述一下我的项目团队(算上美工5人)在这方面的情况:首先,介绍角色: 1.项目组长:相当于项目经理吧,主要职责我就不多说了。 2.界面工程师:是用
支付宝与微信开发经验总结
本文档主要介绍了支付宝和微信的开发经验,特别是针对企业级支付宝的账号设置和开发流程。文档首先提到了开发支付宝应用的基本前提,包括在支付宝官网上注册并申请企业级账号,确保拥有登录密码和支付密码。然后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值