1.一切用户输入都是不安全的
2.一切数据验证都要在后台进行
3.数据传输和存储都要加密
4.开源软件本身存在的缺陷
Application Server was not connected before run configuration stop, reason: Unable to ping server at localhost:1099
如何防止sql注入:
使用#而不是使用$(预编译)
order by 去掉‘分号
上传文件和程序文件分开
为cookie设置httponly和secure属性
& , <,>等符号转换成html编码
用户登录错误时提醒模糊点
避免使用重定向和转发