java项目安全性问题 一、登录爆破 问题: 登录无错误限制,可以无限制的错误尝试登录 解决思路: 增加登录错误计数,达到一定数量就禁止用户登录一定时间 二、密码安全 问题: 用户密码过于简单,容易被破解 用户登录、修改密码时用明文传输,可以被抓包工具获取 解决思路: 用户设置、修改密码的时候对密码强度进行等级判定 数据加密,可使用RSA、MD5等加密算法 三、跨站脚本攻击(XSS) 问题: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 接口数据安全 解决思路: 在用户提交的时候 判断脚本并且去掉相关信息 https://blog.csdn.net/qq_28945959/article/details/114171863 四、SQL注入 问题: 别人利用sql漏洞删库删表。 解决思路: 代码层面最好的办法就是预编译 确认每种数据的类型,比如数字在数据库中必须使用int类型存储 规定数据长度,能在一定程度上放置sql注入 严格限制数据库权限,能最大程度减少sql注入的危害 过滤参数中含有的一些数据库关键词 在数据库访问层中不要使用“+”来拼接SQL语句!如: String sql= “SELECT * FROM USERS WHERE 1=1”; if(null != user.getUserName() && !””.equals(user