代码安全(JavaEE)
文章平均质量分 67
taomoon719
这个作者很懒,什么都没留下…
展开
-
代码安全之我见
不管在哪个行业,“严把质量关”都是需要固守的原则之一,软件行业也不例外。系统的质量可以从很多方面衡量,如性能、可靠性、可用性、吞吐量、可管理性、安全性等。其中安全是非常重要的一个方面,假设一个网上银行系统,非常好用,非常便捷,但如果有安全隐患,将是致命的漏洞。 安全包括方方面面,操作系统的安全,网络的安全,中间件的安全等等。然而,代码本身的安全问题,却往往容易被忽略。如原创 2009-07-24 16:39:00 · 634 阅读 · 0 评论 -
如何写安全的Java Web应用之输入校验(一):不要在输出中包含Debug信息
在写程序的过程中,免不了有调试环节。除了使用Debug工具,很多开发人员都习惯在代码中写一些输出语句,以便找到问题所在。其实,在输出中包含Debug信息,有很多弊端,本文将通过简单例子,阐述为什么不应该在输出中包含Debug信息,以及如何解决这个问题。 因为Debug信息可能包含很多敏感信息,入调用栈、源代码片断等。所以,即使在开发期间Debug信息比较有用,但是在应原创 2009-08-12 16:56:00 · 1203 阅读 · 0 评论 -
如何写安全的Java Web应用之输入校验(二):不要依赖客户端的校验
相信很多人都有这样的体验:在某网站注册用户,提交时,弹出一个对话框,提示你身份证号码不对,密码位数不对等信息。这往往就是采用JavaScript进行的客户端输入校验。但是,为了安全,最好不要依赖客户端的输入校验,输入校验应该放到服务器端去做。 如果一个web应用需要接受客户端的输入,那么往往对输入数据的长度、数值范围、类型等,都需要校验。客户端的校验是把校验放到浏览器里,由浏览器来原创 2009-08-12 18:32:00 · 2143 阅读 · 0 评论