关于网站安全性的相关优化

已于 2023-09-24 16:46:29 修改
阅读量31 收藏
点赞数
文章标签: java 开发语言
于 2023-09-24 16:42:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53318302/article/details/133232800
版权

1.网站涉及相应文件的上传

①考虑文件的大小

/**
     * 校验文件大小是否合法
     * 此处文件大小是否合法的临界值是 ONE_MB
     * @param multipartFile
     * @return
     */
    public boolean isSizeLegal(MultipartFile multipartFile){
        final long ONE_MB = 1024 * 1024L;
        long size = multipartFile.getSize();
        if (size > ONE_MB){
            throw new BusinessException(ErrorCode.PARAMS_ERROR,"文件过大");
        }
        return true;
    }

②考虑文件是否合法(后缀名是否符合要求)

/**
     * 校验后缀名是否合法
     * @param multipartFile
     * @return
     */
    public boolean isSuffixLegal(MultipartFile multipartFile){
        String originalFilename = multipartFile.getOriginalFilename();
        //调用huTool工具类的getSuffix()获取文件的后缀名
        String suffixName = FileUtil.getSuffix(originalFilename);
        //新建合法后缀名的白名单
        final List<String> validFileSuffixList = Arrays.asList("jpg","png","svg","webp","jpeg","xlsx");
        if (!validFileSuffixList.contains(suffixName)){
            throw new BusinessException(ErrorCode.PARAMS_ERROR,"文件后缀名不合法");
        }
        return true;
     }

③考虑文件的内容

④考虑文件的合规性(是否包含敏感信息)

可以接入腾讯云的图片万象数据审核

2.数据存储及查询

业务分析:现在有一个图表信息表,里面存储的相关字段如下,如果每一个用户上传的“图表数据”100M(不超过规定的大小),那么该chart表的查询速度则会大大降低

create table chart
(
    id         bigint auto_increment comment 'id'
        primary key,
    goal       text                               null comment '分析目标',
    chartData  text                               null comment '图表数据',
    chartType  varchar(128)                       null comment '图表类型',
    genChart   text                               null comment '生成的图表数据',
    genResult  text                               null comment '生成的分析结果',
    userId     bigint                             null comment '创建用户 id',
    createTime datetime default CURRENT_TIMESTAMP not null comment '创建时间',
    updateTime datetime default CURRENT_TIMESTAMP not null on update CURRENT_TIMESTAMP comment '更新时间',
    isDelete   tinyint  default 0                 not null comment '是否删除',
    name       varchar(128)                       null comment '图表名称'
)
    comment '图表信息表' collate = utf8mb4_unicode_ci;

用户现在只需要查询chart表的“图表数据”进行简单查询,即保存文件的原始数据有什么优化方法?

解决方法:分库分表

把每一个图表对应的原始数据单独保存作为一个新的数据表,而不是都存放在一个字段中

示例:

比如现在要保存 “网站数据.xlsx”,那么我们就新建一个数据表,表名 chart_{图表id},表内字段和“网站数据.xlsx”内字段一一对应并存储相同数据

2.1数据存储

ChartMapper.xml

    <insert id="createChartData" parameterType="string">
        ${InsertSql}
    </insert>

ChartMapper接口

声明方法

void createChartData(String insertSql);

测试

    @Test
    void createChartData() {
        String chartId = "1705232019000590337";
        String columns_one = "日期";
        String columns_two = "人数";
        String InsertSql = String.format("create table chart_%s (%s varchar(128),%s 
              int(10))",chartId,columns_one,columns_two);
        chartMapper.createChartData(InsertSql);
        //添加数据......
    }

 结果

新建 chart_1705232019000590337 数据表

 2.2数据查询

前提:数据已存储在相应的数据表

ChartMapper.xml

<select id="queryChartData" parameterType="string" resultType="map">
        ${querySql}
</select>

ChartMapper接口声明对应的方法

List<Map<String,Object>> queryChartData(String querySql);

测试

    @Test
    void queryChartData() {
        String chartID = "1705772545445376001";
        String querySql = String.format("select * from chart_%s",chartID);
        List<Map<String, Object>> maps = chartMapper.queryChartData(querySql);
        System.out.println(maps);
    }

结果

对应的数据表存储内容如下

动态sql获取的数据如下

3.限流

关于限流的四种经典算法:面试必备:4种经典限流算法讲解 - 掘金

 ---使用Redission的RateLimiter

①引入依赖

        <dependency>
            <groupId>org.redisson</groupId>
            <artifactId>redisson</artifactId>
            <version>3.23.5</version>
        </dependency>

②yml配置redis信息---实现动态读取配置

spring: 
 redis:
    database: xxx
    host: xxx
    port: xxx
    timeout: xxx
    password:xxx

③新建redis配置类---@Bean注解

@Bean是用在方法上,将当前方法的返回值对象放到ioc容器当中!

但是只有方法上有@Bean是无法将对象放入容器当中的,该@Bean修饰的方法应该在@controller、@Service、@Component、@Configuration、@Repository修饰的类当中才可以!

@Configuration
@ConfigurationProperties("spring.redis")

注解作用:可以将properties/yml配置文件中的内容读取并封装到JavaBean中(字段名相同)

/**
 *redis配置类
 *
 */
@Configuration
@ConfigurationProperties("spring.redis")
@Data
public class RedisConfig {
    Integer database;
    String host;
    Integer port;
    @Bean
    public RedissonClient getRedissonClient(){
        // 1. Create config object
        Config config = new Config();
        config.useSingleServer()
                .setDatabase(database)
                .setAddress("redis://" + host + ":" + port);
        //2.创建实例
        RedissonClient redisson = Redisson.create(config);
        return redisson;
    }
}

④RedisLimiterManager

Manager包---通用的中间组件层

trySetRate()方法的四个参数:

boolean trySetRate(RateType mode, long rate, long rateInterval, RateIntervalUnit rateIntervalUnit);

mode – - rate mode 限流类型
rate – - rate 限流速率/速度
rateInterval – - rate time interval 限流的时间间隔
rateIntervalUnit – - rate time interval unit 速率时间间隔单位

tryAcquire():每次请求的令牌数

@Service
public class RedisLimiterManager {

    @Resource
    private RedissonClient redissonClient;

    /**
     * 限流器
     * @param key 区分不同的限流器,比如用户的id应该分别统计
     */
    public void doRateLimiter(String key){
        RRateLimiter rateLimiter = redissonClient.getRateLimiter(key);
        //设置限流器的规则
        rateLimiter.trySetRate(RateType.OVERALL,2,1, RateIntervalUnit.SECONDS);
        //每当来操作,请求令牌 permits(每次获得许可证的数量)
        boolean canOP = rateLimiter.tryAcquire(1);
        if (!canOP){
            throw new BusinessException(ErrorCode.TOO_MANY_REQUEST,"请求过于频繁");
        }
    }
}

⑤具体应用

注意:限流器 doRateLimiter(String key)Key参数的设置!

        //判断限流
        String key = "genChartByAi_" + loginUser.getId();
        redisLimiterManager.doRateLimiter(key);

此处的key是具体的方法名+用户的id组合的 字符串

qq_53318302
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网站优化方案样本.doc
12-06
网站优化,也称为SEO(Search Engine Optimization),是提升网站在搜索引擎自然搜索结果中的排名和可见性的过程。在网站优化方案中,有几个关键点是至关重要的,以下是对这些关键点的详细解释: 首先,**友谊链接*...
新员工培训之网站优化.ppt
11-21
新员工培训之网站优化主要涉及的是提升网站在搜索引擎中的表现,包括搜索引擎优化(SEO)、关键词选择、网站策划、网站推广及链接交换等多个方面。以下是详细的知识点解释: 1. SEO(搜索引擎优化):SEO是为了提高...
前端两个重点:性能优化、安全
hl199626的博客
06-28 1032
前端中有哪些可以优化的呢? 主要分为以下几类:加载优化:减少HTTP请求、缓存资源、压缩代码、无阻塞、首屏加载、按需加载、预加载、压缩图像、减少Cookies、避免重定向、异步加载第三方资源。执行优化:CSS写在头部、JS写在尾部并异步、避免img、iframe等的src为空、避免重置图像大小、图像尽量避免使用DataURL。渲染优化:设置viewport、减少DOM节点、优化动画、优化高频事件、GPU加速。样式优化:避免在HTML中书写style、避免CSS表达式、移除CSS空规则、正确使用display
如何提高网站安全性
努力是为了站在万人之中,成为别人的光
06-21 3778
更新和维护软件:定期更新网站使用的操作系统、服务器软件和应用程序,确保安装最新的补丁和安全更新,以修复已知的漏洞。安全的数据存储和处理:妥善保护用户数据,包括使用安全的数据库、加密敏感数据、限制数据访问权限和备份数据以防止丢失。安全审计和监控:实施安全审计和监控机制,记录关键系统活动和事件,及时发现和应对潜在的安全威胁。防火墙设置:配置网络防火墙以过滤和监控进出网站的流量,识别和阻止潜在的恶意请求和攻击。安全扫描和漏洞测试:定期进行安全扫描和漏洞测试,发现和修复潜在的漏洞和弱点。
伪静态网站安全攻防如何理解
网站安全专家
04-08 3630
最近小伙伴问我说这个伪静态这个是怎么一回事,伪静态的这个网站的攻防要怎么做,那咱首先给大家先讲一讲伪静态是个什么东西。咱们一般网站都是分为静态和动态的,静态是什么,就比如说一些html页面组成的,就它是基本固定的,一般不会去变的那种内容动态,就是说根据你的不同请求来给你展示出不同的内容,那么对于seo,就是对于搜索引擎优化这些事来说,搜索引擎肯定是更喜欢静态网站的,所以精彩网站更容易做SEO提升我们的排名,那么有这种需求之后就出现了伪静态这么一个东西。 因为我们不可能做成真正静态,我们不可能一直.
深入MySQL数据库进阶实战:性能优化、高可用性与安全性
努力是为了站在万人之中,成为别人的光
09-27 4137
MySQL是世界上最流行的开源关系型数据库管理系统之一。本文将深入探讨MySQL数据库的进阶实战,重点关注性能优化、高可用性和安全性方面的最佳实践。通过详细的代码示例和技术解析,读者将获得有关如何更好地配置、管理和保护MySQL数据库的知识。
网站性能优化的10种方法
CZ-001的博客
07-29 9445
1)尽量减少HTTP请求次数 合并js 合并css 图片sprite 2)延迟加载内容 图片懒加载 数据懒加载(点击查看更多) 功能懒加载(曝光或者点击后加载html模块、js功能模块) 3)使用离线缓存 把常用的变动又少的js、css、图片存储到localstorage,第二次访问的时候直接走本地缓存。在移动端使用广泛。 4)CSS、JS放置正确位置 把css放在head中,保证页面看到的时候样式是对的。 把js放到body里最后位置,防止加载js阻塞页面。 5)静态资源压缩 图片、CSS、J
最新SEO外链一键优化网站源码 SEO超级外链工具
06-10
总的来说,"最新SEO外链一键优化网站源码 SEO超级外链工具"为网站管理员提供了一个方便的平台,帮助他们更高效地执行外链策略,提高网站的搜索引擎可见性。但使用时需谨慎,保持对SEO最佳实践的了解,并且持续关注...
网站建站与服务器设置整体优化
07-06
此外,保持SSL证书的更新和使用,提高网站安全性,也会对SEO产生积极影响。 总之,网站建站与服务器设置的整体优化是一个综合性的过程,涉及URL管理、内容差异化、meta标签优化以及外部链接建设等多个方面。通过...
服务器安全及网站优化教程
12-27
【服务器安全】 服务器安全是确保网络服务正常运行和数据安全的关键环节。教程中涉及的服务器安全内容主要包括: ...通过学习和实践,可以提升服务器的安全性优化网站性能,提升用户体验,从而实现业务的稳步增长。
golang 接口
m0_70982551的博客
07-24 872
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 460
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 564
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
最新发布
訾博(ZiBo)的博客
07-27 549
在Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
Java代码基础算法练习-数的特性-2024.07.25
Sakurapaid的博客
07-25 346
小A喜欢两种性质都成立的数字,小B喜欢至少符合一种性质的数字,小C喜欢不符合这两种性质的 数字。给出一个数字,请输出三个人是否喜欢这个数字。如果喜欢输出1,否则输出0,用空格分隔。输入数字 num,先定义三个整型代表三个人的喜欢与否,先默认设为 0。之后判断num对于性质1、2的条件,分别用 boolen 类型标识。对于每个整型进行判断,是否改为 1 代表喜欢。性质2:大于4且不大于12;
Java修炼 2024.7.26 0:24
2301_80011650的博客
07-26 398
问题:编写一个方法,找出一个数组中的众数(出现次数超过数组长度一半的元素)。例如,输入 [2, 2, 1, 1, 2],输出 2。编写一个方法,找出一个整数数组中的第二大元素。例如,输入 [3, 5, 1, 8, 7],输出 7。例如,输入 5,输出 5。问题:编写一个方法,将给定的字符串逆转。问题:使用数组实现栈,并提供基本操作(push、pop、peek、isEmpty)。问题:实现一个单向链表,并提供基本的操作(添加、删除、查找元素)。问题:编写一个方法来查找一个给定字符串的所有子串。
学习笔记---java篇(0723)
m0_70630166的博客
07-23 839
java、数据类型、循环、选择等
SSM框架整合——常用方式整合SSM框架(三)Spring和MyBatis整合
PAP
07-26 168
SSM框架整合——常用方式整合SSM框架(三)Spring和MyBatis整合
19.jdk源码阅读之FutureTask
前端、移动端、后端源码级底层原理分享
07-25 853
FutureTask 是 Java 并发包中的一个重要类,它实现了 RunnableFuture 接口,结合了 Future 和 Runnable 的特性。FutureTask 通常用于异步任务的执行和结果的获取。
网站优化方案汇总及关键词排名策略分析
在技术方面,需要针对网站的代码进行优化,包括提高网站的页面加载速度,提高网站的响应速度,同时也需要加强网站安全性和稳定性,保证网站的正常访问和运行。 总的来说,针对“XXX年网站优化方案汇总.doc”中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值