W3Cschool
恭喜您成為首批注冊用戶
獲得88經(jīng)驗值獎勵
請參考產(chǎn)品安全檢查表。
輸入和輸出
檢查是否做了HTML代碼的過濾
可能出現(xiàn)的問題:如果有人輸入惡意的HTML代碼,會導(dǎo)致竊取cookie, 產(chǎn)生惡意登錄表單,和破壞網(wǎng)站
檢查變量做數(shù)據(jù)庫操作之前是否做了escape
可能出現(xiàn)的問題:如果一個要寫入查詢語句的字符串變量包含了某些特殊的字符,比如引號(’ ,”)或者分號(;) 可能造成執(zhí)行了預(yù)期之外的操作。
建議采用的方法:使用mysql_escape_string() 或?qū)崿F(xiàn)類似功能的函數(shù)。
檢查輸入數(shù)值的合法性
可能出現(xiàn)的問題:異常的數(shù)值會造成問題。如果對輸入的數(shù)值不做檢查會造成不合法的或者錯誤的數(shù)據(jù)存入UDB、存入其它的數(shù)據(jù)庫或者導(dǎo)致意料之外的程序操作發(fā)生。
舉例:
如果程序以用戶輸入的參數(shù)值做為文件名,進(jìn)行文件操作,惡意輸入系統(tǒng)文件名會造成系統(tǒng)損毀。
核實對cookie的使用以及對用戶數(shù)據(jù)的處理
可能出現(xiàn)的問題:不正確的cookie使用可能造成用戶數(shù)據(jù)泄漏
訪問控制
對內(nèi)部使用的產(chǎn)品或者供合作方使用的產(chǎn)品,要考慮增加訪問控制
logs
確保用戶的保密信息沒有記在log中(例如:用戶的密碼)
確保對關(guān)鍵的用戶操作保存了完整的用戶訪問記錄
https
對敏感數(shù)據(jù)的傳輸要采用https
Copyright©2021 w3cschool編程獅|閩ICP備15016281號-3|閩公網(wǎng)安備35020302033924號
違法和不良信息舉報電話:173-0602-2364|舉報郵箱:jubao@eeedong.com
掃描二維碼
下載編程獅App
編程獅公眾號
聯(lián)系方式:
更多建議: