(1)权限控制校验
- 隶属于用户个人的页面或者功能必须进行权限控制校验。
- 说明:防止没有做水平权限校验就可随意访问、操作别人的数据,比如查看、修改别人的订单。
(2)数据脱敏
- 用户敏感数据禁止直接展示,必须对展示数据脱敏。
- 说明:查看个人手机号码会显示成:134****7138,隐藏中间 4 位,防止隐私泄露。
(3)SQL 注入
- 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入, 禁止字符串拼接 SQL 访问数据库。
(4)参数校验
(1)权限控制校验
(2)数据脱敏
(3)SQL 注入
(4)参数校验