安全上要注意的點:
1.做好路徑被頻繁請求的遮蔽,比如驗證碼,
1.前台頁面傳來的引數全不可靠,後台接收時和儲存前要做引數過濾和資料檢查
1.越權操作,(不同級別,平級越權)
1.資料庫字段長度的限制
1.敏感資訊的加密處理
1.防注入,後台引數和sql的寫法
1.需要走電科院測試才能更新版本,自己留好後門進行自動更新版本的操作,(這個很6,可以將sql和配置寫在前台頁面,通過替換xml頁面配置檔案,來更新版本。當然這個xml檔案是要加密的,然後存到庫的對應資料都是密文)
一開始,為了防止使用者的平級越權,(a使用者通過了登入驗證,進行查詢時,給了b的sfz,查出b資訊),我們在每個查詢的時候都加了一段根據登入資訊拿相應userid的操作,發現,為了防越權做了很多操作。
後來某架構師給了我們些建議:有些細化到按鈕或者乙個點的許可權,都存到庫的時候,如果各種許可權交合在一起,會以笛卡爾積的形式擴增導致資料庫查詢的壓力,後期許可權可能會存幾千萬條。
他們是通過路徑來判斷許可權的,所有頁面請求路徑,先經過乙個filter,每個功能選單menu定義乙個唯一路徑,經過filter分析使用者有沒有該路徑的請求權,沒有重定向的登入,即可做到遮蔽的效果。
關於linux使用者許可權的一些管理
做運維的應該都會遇到乙個問題,伺服器的使用者許可權分配.對於一般企業來說,許可權管理可能不會去做的非常細緻 比如審計每條命令 實際上也沒這麼強烈的需求,基本是粗放式的進行管理 比如人手乙個root,各種嗨 在這種情況下如果想動手,做些細節,可以參考 如果不想動手,借助sudo,chattr也可做些初...
關於測試用例理念的一些想法
g.j.myers給出了關於 測試 的一些規則,被軟體工程領域認可 1 測試是為了發現程式中的錯誤而執行程式的過程 2 好的測試方案極有可能發現迄今為止尚未發現的錯誤 3 成功的測試是發現了至今為止尚未發現的錯誤。上面這段話是測試行業經常能看到的一段關於測試的工程的一種解釋 可能有些太理性或者說是書...
關於測試用例理念的一些想法
g.j.myers給出了關於測試的一些規則,被軟體工程領域認可 1 測試是為了發現程式中的錯誤而執行程式的過程 2 好的測試方案極有可能發現迄今為止尚未發現的錯誤 3 成功的測試是發現了至今為止尚未發現的錯誤。上面這段話是測試行業經常能看到的一段關於測試的工程的一種解釋 可能有些太理性或者說是書面化...