如何在Java开发中,更加安全的编码?这是一个问题

最新推荐文章于 2024-04-10 11:58:17 发布
最新推荐文章于 2024-04-10 11:58:17 发布
阅读量451 收藏
点赞数
分类专栏: Java 架构 数据库 文章标签: Java架构 编程开发 程序员 学习 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/python6_quanzhan/article/details/107670519
版权
本文探讨了在Java开发中确保安全编码的重要性,包括输入校验、异常处理、I/O操作、序列化等方面的安全措施,提供了如SQL注入、XSS攻击、命令执行防范等具体的防护策略,强调了业务逻辑安全和运行环境的安全配置。
摘要由CSDN通过智能技术生成

写在前面

目前处于互联网时代,任何信息的传播都离不开网络的环境。而Java又作为互联网时代的第一语言,如何更规范的编码,使在程序开发中更加安全的运用,就是老生常谈的互联网安全问题之一。

今天,笔者就为大家带来整理的Java开发中的安全编码问题,只是笔者个人见解,有哪里不完善的地方,请各位大佬多多指出,笔者和大家一起进步学习~~~

如何在Java开发中,更加安全的编码?这是一个问题

 

输入校验

编码原则:针对各种语言本身的保留字符,做到数据与代码相分离。

SQL 注入防范

严重性高,可能性低。

(1) 参数校验,拦截非法参数(推荐白名单):

public String sanitizeUser(String username) {
    return Pattern.matches("[A-Za-z0-9_]+", username)
        ? username : "unauthorized user";
}

(2) 使用预编译:

String sql = "UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?";
PreparedStatement statement = conn.prepareStatement(sql);
statement.setBigDecimal(1, 285500.00);
statement.setInt(2, 30015800);

XSS防范

严重性中,可能性高。防范方法有:

(1) 输入输出校验(推荐白名单);

(2) org.apache.commons.lang 工具包处理;

(3) 富文本可用 owasp antisamp 或 java html sanitizer 处理;

(4) ESAPI 处理:

// HTML 实体
ESAPI.encoder().encodeForHTML(data);

// HTML 属性
ESAPI.encoder().encodeForHTMLAttribute(data);

// JavaScript
ESAPI.encoder().encodeForJavaSceipt(data);

// CSS 
ESAPI.encoder().encodeForCSS(data);

// URL
ESAPI.encoder().encodeForURL(data);

代码注入/命令执行防范

严重性高,可能性低。

(1) 参数校验,拦截非法参数(推荐白名单);

(2) 不直接执行用户传入参数:

if("open".equals(request.getParameter("choice"))) {
    Runtime.getRuntime().exec("your
最低0.47元/天 解锁文章
Java领域指导者
关注
专栏目录
【如何进行安全编码
Technology_77的博客
09-15 301
什么是黑客?什么是黑客?这个问题让人值得思考,黑客就是玩玩圈子,录教程收徒玩网恋?赚钱建站玩空间?还是一群技术狂人?或者说是一些行走于。
java 编码规范 安全_【安全开发java安全编码规范
weixin_42488179的博客
02-12 313
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8...
安全开发java安全编码规范
11-30 1612
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84...
Java安全编码:糟糕的在线建议和令人困惑的APIs
weixin_34104341的博客
10-09 205
对于程序员和软件开发人员来说,网络论坛提供了一个交流知识和寻找具体编码难题答案的好地方。遗憾的是,他们并不总是准确信息的来源。 弗吉尼亚理工大学的一组研究人员分析了数百篇关于Stack Overflow的文章,(Stack Overflow是一个很受欢迎的开发者论坛或者说Q&A网站)发现许多提供答案的开发人员并没有意识到编码选项的安全含义...
Java编码安全规范
qq_38056704的博客
01-16 6401
简述:入职菊厂第一周,没什么任务,正全力准备java安全编码考试,跟阿里规范类似,不过要多很多安全攻防的内容和一些之前没注意的知识点,所以记录分享自己学到的经验 断言滥用 断言应该只存在于测试类,而不应该出现在业务代码。因为断言是可以被关掉的!!也就是如果你业务代码里用到断言去校验一个参数的状态,断言如果被关掉,你这段代码就是跳过执行成为漏洞。 Java断言的开启关闭和初步使用_jjj03230304的博客-CSDN博客_java 禁用断言1 说明  java断言assert是jdk1.4引入的。
JAVA开发手册与安全编码规范.zip
03-18
Java开发手册以 Java 开发者为心视角,划分为编程规约、异常日志、单元测试、安全规约、MySQL 数据库、工程结构、设计规约七个维度进行Java开发规范; Java安全编码规范明确安全编码的基本原则,常见漏洞对应的...
Java安全编码培训.pdf
04-18
Java安全编码培训是针对Java开发人员进行的一项专业培训,旨在提升程序员在编写代码时对安全问题的认识和能力,防止在软件开发过程引入安全隐患。本次培训涵盖了安全编码的重要性和基本概念,包括安全编码考核...
JAVA安全编码规范参考.pdf
03-24
JAVA安全编码规范参考文档深入分析了在Java开发如何编写安全代码,降低系统被攻击的风险。文档内容涵盖了安全编码的基本原则以及常见漏洞的安全编码方法。 一、安全编码基本原则 1. 所有输入数据都是有害的 在...
Java安全开发编码实践.pdf
10-29
Java安全编码实践是软件开发一个关键领域,旨在预防攻击者利用漏洞进行恶意活动。Java平台及第三方库提供了丰富的安全特性来支持安全编码,但如果不正确地使用这些特性,可能会导致开发者耗费大量时间和精力,...
Java安全编码标准
07-22
资源名称:Java安全编码标准内容简介:《java安全编码标准》是java安全编码领域最权威、最全面、最详细的著作,java之父james a. gosling推荐。不仅从语言角度系统而详细地阐述java安全编码的要素、标准、规范和最佳...
安全编码
banzhihuanyu的博客
01-30 484
前因 自己的编码水平很弱。有一次面试,面试官问我,你知道那些安全编码的知识吗?这个问题让我一直耿耿于怀。所以在此记录,我以后遇到的所有有关安全编码的知识。 记录 strcpy 函数因没有进行边界检查导致栈溢出 2.
如何在Java开发,更加安全编码这是一个问题,3个月学会Java开发
最新发布
2401_84023787的博客
04-10 721
又是一年求职季,在这里,我为各位准备了一套Java程序员精选高频面试笔试真题,来帮助大家攻下BAT的offer,题目范围从初级的Java基础到高级的分布式架构等等一系列的面试题和答案,用于给大家作为参考以下是部分内容截图一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!持续更新**
分享java安全编码基础指南
gg7894125的博客
08-25 376
目录 简介 java平台本身的安全安全第一,不要写聪明的代码代码设计之初就考虑安全性 避免重复的代码 限制权限 构建可信边界 封装 写文档 简介 作为一个程序员,只是写出好用的代码是不够的,我们还需要考虑到程序的安全性。在这个不能跟陌生人说话世界,扶老奶奶过马路都是一件很困难的事情。那么对于程序员来说,尤其是对于开发那种对外可以公开访问的网站的程序员,要承受的压力会大很多。 任何人都可以访问我们的系统,也就意味着如果我们的系统不够健壮,或者有些漏洞,恶意攻击者就会破门而入,将我们辛辛苦苦写的程序蹂
Java安全编码小结
loveoobaby的博客
04-05 4969
平时开发要养成安全意识,建立攻击者思维,编写可靠健壮的代码 1. 安全编码的基本原则 外部输入都是不安全的,需严格校验; 建立防御性编程的策略; 尽量减少代码的攻击面,避免与环境过多的交互,代码尽量简单; 避免程序内部的处理流程暴露到外部环境; 2. 数据的校验 2.1 外界传入的数据要严格校验,常用的策略有白名单(只接受安全的)、黑名单(拒绝已知非安全)、数据净化(编码、替换特殊字符、删除特殊字符等); 2.2 禁止使用外部不可信数据直接拼接SQL,防止SQL注入。防止SQL注入的措施有: 使.
Java一些安全编码标准(第一版)
lihaoyiding的博客
12-29 567
Java一些安全编码问题梳理
Java一些安全编码标准(第三版)
lihaoyiding的博客
02-25 892
java一些安全编码标准
Java一些安全编码标准(第二版)
lihaoyiding的博客
01-03 645
Java一些安全编码标准(第二版)
Java实现-编码方法
Narasimha_Karumanchi
07-02 849
一个消息包含A-Z通过以下规则编码 'A' -> 1 'B' -> 2 ... 'Z' -> 26 现在给你一个加密过后的消息,问有几种解码的方式 您在真实的面试是否遇到过这个题?  Yes 样例 给你的消息为12,有两种方式解码 AB(12) 或者 L(12). 所以返回 2 public class Solution {
七大经典排序算法编码实现全集——Java实现
weixin_45181365的博客
06-17 139
package Sort; import java.util.Arrays; public class Sort { public static void main(String[] args) { // 定义一个数组,并进行静态初始化 int[] arr = {61, 17, 29, 22, 34, 21, 50, 1, 62}; //遍历数组,获取数组元素值 printArray(arr); System.out.println("------------------------"); //调用冒泡排序
华为Java安全编码规范考题解析
Java开发安全编码规范至关重要,因为不合规的编码可能导致各种安全风险,如SQL注入、命令注入、信息泄露等。以下是一些重要的知识点: 1. 正则表达式使用:虽然正则表达式常用于外部输入的校验,但不恰当的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值