Java开发手册-第四章 安全规约

最新推荐文章于 2022-12-10 23:17:47 发布
最新推荐文章于 2022-12-10 23:17:47 发布
阅读量616 收藏
点赞数 2
分类专栏: Java开发规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc_whale/article/details/83038448
版权
本文介绍了遵循阿里巴巴Java开发手册的第四章安全规约,强调了权限控制、数据脱敏、防止SQL注入、参数验证、避免XSS攻击和CSRF防护的重要性,并提供了相关示例。
摘要由CSDN通过智能技术生成

研读阿里巴巴Java开发手册,第四章安全规约在我们工程中的实现。

[强制]隶属于用户个人的页面或者功能必须进行权限控制校验

说明:防止没有做水平权限就可随意访问,修改,删除别人的数据,比如查看他人的私信内容、修改他们的订单。

  1. 获取登录信息的memberId校验(更新用户地址)
    在这里插入图片描述
用户敏感数据禁止直接展示,必须对展示数据进行脱敏。
memberAddress.getMemberRecipientPhone().substring(3, 7), "****
最低0.47元/天 解锁文章
cc_whale
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java开发手册-代码规范
03-22
### Java开发手册-代码规范 #### 一、编程规约 **(一)命名风格** 1. **类名规范:** - 类名应该采用大驼峰命名法(PascalCase),即每个单词首字母大写,不使用下划线分隔。 - 尽可能使用明确且具有描述性的...
数据库开发与设计规范
S_yellow的博客
06-22 691
1. 引言 1.1 文档目的 本文档明确数据库设计原则和规范,规范数据库对象命名方式,见名知意,强化分工,保证数据库高效稳定运行。 2. 数据库设计原则 充分考虑业务逻辑和数据分离,数据库只作为一个保证ACID特性的关系数据的持久化存储系统,尽量避免使用自定义函数、存储过程、触发器和视图。 充分考虑数据库整体安全设计,数据库管理和使用人员权限分离。 充分考虑具体数据对象的访问频度及性能需求,结合主机、存储等需求,做好数据库性能设计。 充分考虑数据增长模型,决策是否采用“分布式(水平拆分或者垂直拆分)”模式
阿里巴巴 Java 开发手册--学习(三)
qq_34409900的博客
06-08 221
安全规约         1、用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入,禁止字符串拼接 SQL 访问数据    库    2、用户请求传入的任何参数必须做有效性验证。    3、表单、 AJAX 提交必须执行 CSRF 安全过滤。    4、在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放限制,如数量限制、疲劳度控制、验证...
java开发手册-04安全规约
数字人生
08-15 167
代码】java开发手册-04安全规约
编码规约安全规约
绣花针
03-25 1124
目录 一、强制 1.隶属于用户个人的页面或者功能必须进行权限控制校验 2.用户敏感数据禁止直接展示 3.用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定 4.用户请求传入的任何参数必须做有效性验证 5.禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据 6.表单、AJAX 提交必须执行 CSRF 安全验证 7.在使用平台资源,譬如短信、邮件、电话...
sql参数绑定
a_haoGG的博客
06-02 4344
参数绑定就是绑定一个PHP变量到用作预处理的SQL语句中的对应命名占位符或问号占位符。可以有效的防止SQL注入。 注:要求无论何时尽量使用参数绑定的形式来构建SQL语句 在系统中直接运行SQL语句操作数据库的函数(pdo_fetch()、pdo_fetchall()、pdo_fetchcolumn()、pdo_query())需要开发人员手动绑定参数,以 pdo_fetch() 函数为例
Java开发手册(黄山版).pdf
02-03
安全规约Java 开发手册(黄山版)的第四个维度,涵盖了安全规约的基本原则、安全规约的实现方法、安全规约的优点等。 1. 安全规约的基本原则 安全规约的基本原则是手册的核心部分,包括安全规约的定义、安全...
Java开发手册编码规范.docx
最新发布
10-17
编程规约Java开发手册编码规范的第一部分,這部分涵盖了编程的基本规约。包括命名风格、常量定义、代码格式、OOP规约、集合处理、并发处理、控制语句和注释规约等八个方面。 (一) 命名风格 命名风格是编程的基本...
Java 开发手册编程规约
10-09
Java开发手册编程规约》是指导Java开发者遵循的一套标准,旨在提升代码质量、可读性和维护性。以下是对各个部分的详细解释: **一、编程规约** 1. **命名风格**:命名应清晰、简洁且具有描述性。类名使用驼峰式...
java入职学习一之编码规范
Yzq12312的博客
12-02 1420
编码规范 好的编码规范可以尽可能的减少一个软件的维护成本,并且几乎没有任何一个软件,在其整个生命周期中,均由最初的开发人员来维护。 好的编码规范可以改善软件的可读性,可以让开发人员尽快而彻底地理解新的代码。 好的编码规范可以最大限度的提高团队开发的合作效率。 长期的规范性编码还可以让开发人员养成好的编码习惯,甚至锻炼出更加严谨的思维。 安全规约 通过学习阿里巴巴的《阿里巴巴Java开发手册》和公司视频讲解,返现这七大强制约定和一个推荐约定的对于一个开发人员的良好编码习惯和逻辑思维有着重要的启发和引导作用
编程规约、异常日志、单元测试、安全规约、工程结构、MySQL 数据库
09-18
以本手册Java 开发者为中心 视角,划分为编程规约、异常日志、单元测试、安全规约、工程结构、MySQL 数据库六 个维度,再根据内容特征,细分成若干二级子目录。根据约束力强弱及故障敏感性, 规约依次分为强制、推荐、参考三大类。
C# 后端数据验证的使用
极客神殿
12-10 1001
用户请求传入的任何参数必须做有效性验证。page size过大导致内存溢出恶意order by导致数据库慢查询任意重定向SQL注入反序列化注入正则输入源串拒绝服务ReDoS。
SQL注入
gghhb12的博客
03-29 3920
SQL 注入
对于索引(a,b,c),下列哪些说法是正确的
架构师专栏
03-25 3042
多选 对于索引(a,b,c),下列哪些说法是正确的:答案在文末 A. 查询语句 where a between 5 and 10 可以使用该索引。 B. 查询语句 where a = 5 and b between 5 and 10 可以使用该索引。 C. 查询语句 where a in (5,6,7,8,9) and b = 5 可以使用该索引。 D. 查询语句 where b = 5 and c = 10 可以使用该索引。 多选 关于组合索引,下他哪些说法符合《阿里巴巴Java开发手册》:答案在文末
常见安全规范-对敏感信息脱机处理
两眼一睁 神志不清
08-26 2320
本文转自:https://docs.open.alipay.com/common/105912 1. 常见开发场景安全开发指南 1.1. 敏感信息使用场景 敏感信息指用户的 身份证号、银行卡号、手机号 等身份信息。重要敏感信息的脱敏规范如下。 敏感信息类型 展示规范 身份证 显示前 1 位 + *(实际位数) + 后 1 位,如: 3****************3 银行卡 显示前 6 位 + *(实际位数) + 后 4 位,如:622575******1496..
安全规约
wzx01234567890的博客
08-05 261
阿里巴巴开发手册安全规约 用户数据必须脱敏 用户传入的任何参数必须做有效性验证 ssrf,缓存击穿,任意重定向 sql注入,order by 导致数据库慢查询
阿里巴巴JAVA开发规范&&个人需要注意的点
weixin_44233929的博客
06-25 6398
POJO 类中布尔类型变量都不要加 is 前缀,否则部分框架解析会引起序列化错误 说明:在本文 MySQL 规约中的建表约定第一条,表达是与否的值采用 is_xxx 的命名方式,所以,需要在<resultMap>设置从 is_xxx 到 xxx 的映射关系。 反例:定义为基本数据类型 Boolean isDeleted 的属性,它的方法也是 isDeleted(),RPC 框架在反向解析的时候,“误以为”对应的属性名称是 deleted,导致属性获取不到,进而抛出异常。 如果模块、接口、类、方法
Java】手机号校验与脱敏处理
热门推荐
Horace's Blog
12-29 1万+
背景 前不久,博主刚刚通过阿里巴巴编码规范(Java)认证,其中的安全规约当中强制规定:用户敏感数据禁止直接展示必须展示数据进行脱敏。 以博主所在小团队最近正在开发的小程序为例:针对用户手机号的展示,隐藏中间4位,防止隐私泄露。如下图所示: 图1 由于手机只做展示作用,为安全起见,博主将手机脱敏放置后端处理。 代码实现 针对手机脱敏进行代码实现,顺便也实现下手机号码的格式校验。 1.手...
《阿里巴巴Java开发手册》阅读笔记
weixin_30553777的博客
03-30 860
1.抽象类命名使用 Abstract 或 Base 开头; 异常类命名使用 Exception 结尾; 测试类命名以它要测试的类的名称开始,以 Test 结尾。 2.POJO 类中布尔类型的变量,都不要加 is,否则部分框架解析会引起序列化错误。 反例: 定义为基本数据类型 boolean isSuccess; 的属性,它的方法也是 is...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值