做金融项目安全貌似很重要~
在上线前要做一些渗透测试一类的~
我虽然不是专业的安全测试的~
简单的瞎扯扯也是可以的~
sql注入
貌似是个老生常谈的问题~
虽然目前来说并不是很多,但是由于程序员的代码编写问题,有时候的确还会出很多问题~程序员开发的时候有些时候不注重代码安全就会出现sql注入~
我个人做开发的时候一般都用mybatis~
公司貌似喜欢用 spring template~
当然都差不多~
字符串拼接有时候会造成sql注入~
模糊查询中类’%kk%’这个字符串有些时候程序员喜欢拼接~类似于’%’+’kk’+’%’
在mysql中有个concat函数就可以解决这种字段拼接~
在mybatis的mapper中就可以写作concat(’%’,#{name},’%’)
避免从外部拼接进来~