安全相关程序的处理

系统安全

说明：开发系统时注意安全相关的事项，关注各个实现的方式

前端页面输入及请求

• 根据严格的规则验证和过滤所有参数，例如标题，cookie，查询，表单字段和隐藏字段
• 修复HTML标记，以便在Web浏览器中不执行包含恶意XSS代码的对象
• 对输入数据（元字符）使用正过滤模式（已过滤以仅允许允许的字符）
• (需要检查作为参数传递的值是否包含特殊字符或多个命令语法（;，|）
  -通过在Web服务器或Web应用程序中执行输入值验证来防止恶意命令的输入
  -在URI或请求正文中； 限制使用特殊字符，例如，’，“)
  方式：过滤器，解析成字符串，不能当成程序来执行

数据库相关：

• 输入查询语句时，请对所有输入值进行验证
• 如果是JAVA，请使用PreparedStatement类中和SQL Injection攻击
• 方式：解析sql时，将传入的参数解析成字符串，避免当成nsql脚本执行

业务相关：

• 部分公共工作文件夹应仅对自己部分的人员可用，而其他部分则不应访问。
• 您应该只能访问和编辑自己的重要业务文件夹和文件，并且必须授予其他用户权限以防止访问和修改。
• 方式：非系统管理者进入系统后只能看到自己填写、申请和审批的数据，系统管理者可以看到自己管理部分的数据，有单独的管理者菜单