孤尽班第十次课程-单元测试与系统安全规约

孤尽班第十次课程-单元测试与系统安全规约

单元测试规约

单元测试的AIR 与 原则

R：可重复性 
I :   独立性
A:  自动化性 

单元测试的BCDE 原则

B: Border   边界测试 
C: Corret  正确的输入， 并得到预期的结果
E: Error  证明程序有错
D: Design 与设计文档相结合

常见单元测试框架介绍

系统安全规约实践

越权访问漏洞防范措施

1. 前后端同时对用户输入信息进行校验，双重验证机制
2. 调用功能前，验证用户是否有权限，调用相关功能
3. 执行关键操作前比喻验证用户身份，验证用户是否具备操作数据的权限
4. 直接对象引用的资源ID 要加密, 防止攻击者枚举ID， 敏感数据特殊化处理
5. 永远不要相信用户的输入，对于可控参数进行严格的检查与过滤

敏感数据处理

1. 特殊信息授权
2. 特殊信息脱敏
3. 特殊信息加密存取
4. 特殊信息加密传输

数据脱敏的重要原则

1. 报纸原有数据特征
2. 保持数据之间的一致性
3. 保持业务规则的关联性
4. 多次脱敏之间的数据一致性 

SQL 注入攻击防御

SQL  注入常用防御手段
1. 过滤危险字段
2. 使用预编译语句 
3. 参数化查询 
Mybatis  框架SQL  注入漏洞场景
4. 使用$ 直接拼接
5.  模糊查询like 后的参数 
in 之后的参数 
order by 之后

使用Sentinel 实现API 接口防刷