若干年前,在秒針工作的時候,秒針接了國家統計局的乙個專案。
我沒有親自參與,但了解這個專案的一些情況,這個專案的文件,我也有一些,比較重要且簡單的乙個文件是,本文想分享的一些常用的安全措施。
這個專案,使我認識到,我所認識到的世界,只是真實世界的很小一部分情況。世界太複雜,我永遠只可能知道一部分情況。
我們每個人了解到的資訊和已有的認識,永遠都是有侷限性的,你不可能知道所有的資訊和事實。存在一些人比你更加優秀,可能是因為他們掌握了更多的有價值的資訊。
在這個弱肉強食的世界裡,根本不存在什麼公平,都是強者說了算。
少一些抱怨,多一些改變,才是正解~
這個專案出錢方應該是「國家統計局」,專案承接方是「某國企」,具體幹活的是「秒針」。
據說,這個專案總價至少300萬,秒針拿到的可能只有100萬。如果只論這個專案建設的話,工期2個月,20個人參與,還經常加班,秒針是賺不到任何錢的。
我分析,秒針之所以接收這個專案,是想和有更多資源的國企等利益集團,建立商業合作吧~
這個世界,無私的感情總是少數,更多的還是商業、生意和交易罷了~
安全級別主要在應用層處理,主要有身份鑑別、訪問控制、安全審計、軟體容錯、資源控制、通訊保密。
下面就每種處理做說明:
1身份鑑別:
在註冊時,需要使用者提供使用者名稱、密碼以及驗證碼作為身份的標識,這樣可以防止惡意程式註冊。
在登入時,採用加密密碼的方式進行資料驗證。訪問資料頁面時會以使用者id作為身份標識,獲取使用者資料。
3安全審計:
每個請求url都會寫入日誌檔案,可日後做行為分析。
4軟體容錯:
**採用雙伺服器方式服務,使用nginx反向**,當有一台伺服器宕機時,nginx會把所有流量轉向正常服務的伺服器。
5資源控制:
監控軟體監測**的執行狀態,如果有伺服器異常,進行報警。
6通訊保密:
暫時只對使用者密碼進行加密,如果使用者選擇了儲存密碼,會在cookie裡面存入乙個隨機的數值,在下次訪問會與資料庫做比對。
7.資料庫雙機房備份:
為了防止意外情況造成資料丟失,需要採用資料庫遠端備份。
8.sql注入,跨站攻擊:
**在執行sql之前會處理傳入的引數,這樣就避免了sql注入的風險。前端頁面也進行了對特殊字元的編碼,避免了前端注入風險。
本文比較簡單,內容比較有意義,也不敏感,因此我分享了出來。
今後,還會分享更多有價值不敏感的內容。
我的一些AJAX感想
1 ajax應用的基本流程 1 建立xmlhttprequest物件 2 從web表單中獲取需要的資料 3 設定連線的url 4 建立到伺服器的連線 5 設定伺服器在完成執行後的 函式 6 傳送請求 如上面的過程我們可以看到ajax的核心在於那個xmlhttprequest物件。基本上的流程都與這個...
軟體專案管理的一些感想
軟體開發不能各司其職,分兵作戰。乙個龐大的,多服務,多系統的專案,可能保護多個團隊所開發維護的系統,每個系統都基於面向的使用者群是一致的。在系統整合過程中,涉及到多系統的資料互動,可能會產生各種雜亂的介面,服務程式依賴。一旦乙個專案選擇這樣得處理方式,專案就會走向不確定性,專案風險就會增加。其中,任...
我找工作時候的一些感想
如果應聘it職位,別對系統分析與設計職位抱太大希望,學習程式設計就可以找到乙個不錯的工作。企業不會讓乙個剛畢業的學生負責分析,設計方面的工作的,他們需要的是能夠寫 的人。對資料結構和演算法,以及一門程式語言的熟練掌握,可以幫你輕易獲得乙份offer。當然,如果有足夠的專案經驗,你就有資格與應聘單位進...