系统安全
说明:开发系统时注意安全相关的事项,关注各个实现的方式
前端页面输入及请求
- 根据严格的规则验证和过滤所有参数,例如标题,cookie,查询,表单字段和隐藏字段
- 修复HTML标记,以便在Web浏览器中不执行包含恶意XSS代码的对象
- 对输入数据(元字符)使用正过滤模式(已过滤以仅允许允许的字符)
- (需要检查作为参数传递的值是否包含特殊字符或多个命令语法(;,|)
-通过在Web服务器或Web应用程序中执行输入值验证来防止恶意命令的输入
-在URI或请求正文中; 限制使用特殊字符,例如,’,“)
方式:过滤器,解析成字符串,不能当成程序来执行
数据库相关:
- 输入查询语句时,请对所有输入值进行验证
- 如果是JAVA,请使用PreparedStatement类中和SQL Injection攻击
- 方式:解析sql时,将传入的参数解析成字符串,避免当成nsql脚本执行
业务相关:
- 部分公共工作文件夹应仅对自己部分的人员可用,而其他部分则不应访问。
- 您应该只能访问和编辑自己的重要业务文件夹和文件,并且必须授予其他用户权限以防止访问和修改。
- 方式:非系统管理者进入系统后只能看到自己填写、申请和审批的数据,系统管理者可以看到自己管理部分的数据,有单独的管理者菜单