阿里入职编码规范培训

于 2021-12-27 16:36:41 发布
阅读量153 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53198872/article/details/122172955
版权
本文详细介绍了阿里巴巴的编码安全规范,包括用户权限控制、数据脱敏、SQL注入防护、参数验证、XSS过滤、CSRF验证、防重放机制、风控策略、数据库设计最佳实践、异常处理和事务管理等方面,旨在提升系统的安全性与稳定性。
摘要由CSDN通过智能技术生成

  1. 隶属于用户个人的页面或者功能必须进行权限控制校验。目的:防止没有做水平权限校验的就可以随意访问,修改,删除别人的数据,比如查看他人的私信内容修改他人订单

  2. 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。说明:中国大陆个人手机号码显示为138****0265,隐藏中间4位,防止隐私泄露

  3. 用户输入的SQL参数严格使用参数绑定或者METADTA字段限定,防止SQL注入禁止字符串拼接SQL访问数据库。

  4. 用户请求传入的任何参数必须要做有效性验证。忽略参数校验可能会导致 page size过大导致内存溢出、恶意orderby导致数据库查询慢、任意重定向、SQL注入、反序列化注入、正则输入源拒绝服务RoDos

  5. 禁止向HTML页面输出未经安全过滤或未正确转义的用户数据。

  6. 表单,AJAX提交必须执行CSRF安全验证

  7. 在使用平台资源。例如短信、邮件、电话、下单、等,必须实现正确的防重放机制,如数量限制验证码校验等。步滚轮设置** 等功能,功能按钮位于编辑区域与预览区域中间;

  8. 发帖、评论、发送即使消息等用户生成的内容的场景必须实现防刷、文本内容违禁词过滤等风控策略

  9. 表达是与否概念的字段,必须使用is_xxx的方式命名,数据类型是unsigned tinyint(0表示是,1表示否)。任何字段如果是非负数必须是unsigned。

  10. 表名字段名必须使用小写字母或数字,禁止出现数字开头,严禁两个下划线中间出现数字。

  11. 表名不使用复数名词,表名应该仅仅表示表里的实体内容,不应该表示实体数量。

最低0.47元/天 解锁文章
m0_53198872
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里入职编码规范
weixin_42057844的博客
11-06 1159
阿里入职编码规范培训 隶属于用户个人的页面或者功能必须进行权限控制校验。目的:防止没有做水平权限校验的就可以随意访问,修改,删除别人的数据,比如查看他人的私信内容修改他人订单 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。说明:中国大陆个人手机号码显示为138****0265,隐藏中间4位,防止隐私泄露 用户输入的SQL参数严格使用参数绑定或者METADTA字段限定,防止SQL注入禁止字符串拼接SQL访问数据库。 用户请求传入的任何参数必须要做有效性验证。忽略参数校验可能会导致 page size过大
阿里编码规范学习
weixin_30725315的博客
04-01 176
针对附录中的阿里编码规范,直接指定标题位置,或列出相应规范内容,与其说是编码规范,不如说是新手防坑指南,菜鸟们很值得一看。 一编码规范 (一)命名规约 6.【强制】抽象类命名使用 Abstract 或 Base 开头;异常类命名使用 Exception 结尾;测试类 命名以它要测试的类的名称开始,以 Test 结尾。 7.【强制】中括号是数组类型的一部分,数组定义如下:String[] a...
阿里巴巴编码规范
LZY_Handsome_boy的博客
05-01 1016
编程规约 命名风格 1. 代码命名不能以下划线或者美元符号开头或者结尾 2. 代码命名不能以中文拼音或者中文拼音与英文混合方式 3. 类名使用UpperCamCamelCase风格,但DO、PO、DTO、VO、BO等除外 4. 方法名、参数名、变量名统一使用lowerCamelCase,必须遵守驼峰命名 5. 常量名全部大写,单词间用下划线隔开 6. 抽象类必须以Abstract...
阿里巴巴编码规范(Java)
wangbaosongmsn的博客
04-09 3295
阿里巴巴编码规范(Java) 编程规约 命名风格 1. 代码命名不能以下划线或者美元符号开头或者结尾 2. 代码命名不能以中文拼音或者中文拼音与英文混合方式 3. 类名使用UpperCamCamelCase风格,但DO、PO、DTO、VO、BO等除外 4. 方法名、参数名、变量名统一使用lowerCamelCase,必须遵守驼峰命名 5. 常量名全部大写,单词间用下划线隔开 6...
阿里巴巴编码规约IDEA插件
03-22
1. 教育培训:新入职员工可以通过使用插件快速了解和适应公司的编码规范。 2. 项目开发:团队成员共享同一套编码规约,减少代码审查的工作量,提高协作效率。 3. 个人提升:开发者可以借此提高代码质量,培养良好的...
2020阿里招聘岗位要求
热门推荐
遇见OFFER
06-10 2万+
职位名称 职位描述 职位要求 阿里云智能事业群-中间件业务中台架构师-北京\杭州 1、负责阿里云中台项目的实施,设计行业业务中台解决方案,根据客户需求设计并搭建业务中台,并能把设计工作付诸实现 2、根据项目需求,进行业务领域建模分析、平台架构设计、技术方案预研、核心模块技术方案设计 3、指导和培养团队和合作伙伴成员,包括评审设计文档和代码 4、与团队共同推进标杆客户,制定符合市场需求的业务中台产品功能、业务流程及推广策略,赋能业务团队拿下市场份额,推动业务中台的业务增
互联网企业实习面试经验分享(谷歌微软hulu阿里腾讯字节美团百度等等)
日沉云起的博客
07-04 6636
这篇帖子主要以流水账的形式记录一下自己整个春招找实习的过程。注意,有些网址需要 网上学科 (倒过来看)才能打开。 外企 Google Google 招聘网址点这里 微信公众号:Google 招聘包打听 面试类型:视频面试 面试轮次:2 轮 面试工具:BlueJeans(面试前 recruiter 会发送一个具体会议链接,网页在线使用) 代码共享方式:codebunk Google 一直以来都是我的 dream company,我也一直关注着 Google 招聘的相关信息,并坚持参加 Google 的 k
阿里巴巴编码规范解读(六、七)-工程结构及设计规约
gonghaiyu的博客
08-01 1231
工程结构 应用分层 1.【推荐】 图中默认上层依赖于下层,箭头关系表示可直接依赖,如:开放接口层可以依赖于 Web层,也可以直接依赖于 Service层,依此类推。 开放接口层:可直接封装 Service 方法暴露成RPC 接口;通过Web 封装成http 接口;网关控制层等。 终端显示层:各个端的模板渲染并执行显示的层。当前主要是velocity 渲染,JS 渲染,JSP 渲染,移 动端展示等。 Web 层:主要是对访问控制进行转发,各类基本参数校验,或者不复用的业务简单处理等。 Service 层:相
CSRF是什么
weixin_43523521的博客
12-20 335
CSRF即跨站请求攻击。 简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 其实可以这么理...
阿里巴巴一共25000名员工,需要多少人进行绩效管理?(转)
Better Me的博客
01-08 3187
阿里巴巴一共25000名员工,需要多少人进行绩效管理?答案是一人。在得到了这个答案之后,小伙伴们直呼惊呆了!真是万万没想到……   从建筑到员工考核,都被打上了深深的阿里文化烙印。那么,到底什么是阿里文化?企业文化是如何影响企业的? 阿里巴巴从不认为自己是一间科技公司,他们一直认为自己是一家服务型的企业,在阿里巴巴的实时成交显示屏上,马云口中的电商生态系统一目了然,在电商交易
阿里实习一周小结
经管与EE复合奇葩专业的专栏
06-28 1848
//2015年6月28日 来蚂蚁金服实习一周了,特地做一个小结。 实习感受: 1.面的是数据研发,可以因为二面大boss(竟是大部门的主管,不知道是不是常态)手下不是数据部门,都是研发测试岗,因此成为实质上java研发一名。 2.关于上面再说明一下,因为支付宝一直在推全栈工程师(研发+测试),所以其实不管你是什么研发岗,都是java研发的工作。测试也要慢慢转研发,c++的更惨根本没有通知其
阿里巴巴开发手册》读书笔记-安全规约
攻城狮Chova的博客
03-05 416
安全规约安全规约 安全规约 隶属于用户个人的页面或者功能必须进行权限控制校验 防止没有做水平校验接可以随意访问,修改,删除别人的数据 查看私信内容 修改私人订单 用户敏感数据禁止直接展示,必须对展示数据进行脱敏处理 比如手机号隐藏中间4位,防止隐私泄露 ...
java入职学习一之编码规范
Yzq12312的博客
12-02 1434
编码规范 好的编码规范可以尽可能的减少一个软件的维护成本,并且几乎没有任何一个软件,在其整个生命周期中,均由最初的开发人员来维护。 好的编码规范可以改善软件的可读性,可以让开发人员尽快而彻底地理解新的代码。 好的编码规范可以最大限度的提高团队开发的合作效率。 长期的规范性编码还可以让开发人员养成好的编码习惯,甚至锻炼出更加严谨的思维。 安全规约 通过学习阿里巴巴的《阿里巴巴Java开发手册》和公司视频讲解,返现这七大强制约定和一个推荐约定的对于一个开发人员的良好编码习惯和逻辑思维有着重要的启发和引导作用
Java开发手册-第四章 安全规约
cc_whale的博客
10-13 622
研读阿里巴巴Java开发手册,第四章安全规约在我们工程中的实现。 [强制]隶属于用户个人的页面或者功能必须进行权限控制校验 说明:防止没有做水平权限就可随意访问,修改,删除别人的数据,比如查看他人的私信内容、修改他们的订单。 获取登录信息的memberId校验(更新用户地址) 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。 memberAddress.getMemberRecipie...
阿里案例:一文教会如何写复杂业务代码
10-24 422
作者 | 张建飞 阿里巴巴高级技术专家了解我的人都知道,我一直在致力于应用架构和代码复杂度的治理。这两天在看零售通商品域的代码。面对零售通如此复杂的业务场景,如何在架构和代码层面进行应...
阿里java开发手册学习笔记(四、 安全规约)
计忆芳华的博客
05-29 264
隶属于用户个人的页面或者功能必须进行权限控制校验。 用户敏感数据禁止直接展示,必须对展示数据进行脱敏。中国大陆个人手机号码显示为:137****0969,隐藏中间 4 位,防止隐私泄露 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入,禁止字符串拼接 SQL 访问数据库。 用户请求传入的任何参数必须做有效性验证。 忽略参数校验可能导致: ⚫ page size 过大导致内存溢出 ⚫ 恶意 order by 导致数据库慢查询 ⚫ 任意重定向 ⚫ SQL 注入 ⚫.
阿里巴巴编码规范试题详细解析与答案
阿里巴巴编码规范试题答案提供了关于阿里巴巴编程规约的一系列问题及其解答。这些题目主要考察Java编程语言中的最佳实践,包括使用特定类库和API来实现特定功能。以下是部分知识点的详细解析: 1. 题目1涉及到了`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值