1.弱口令漏洞
解決方案:最好使用至少6位的數字、字母及特殊字元組合作為密碼。資料庫不要儲存明文密碼,應儲存md5加密後的密文,由於目前普通的md5加密已經可以被破解,最好可以多重md5加密,或者多種加密方式疊加組合。如前端對密碼進行md5加密,後端對前端傳遞過來的已經加密過後的密碼新增salt,然後再進行一次md5加密,存入資料庫。
2.未使用使用者名稱及密碼登入後台可直接輸入後台url登入系統。
解決方案:spring aop實現登入許可權攔截
3.sql注入問題
使用mybatis編寫sql語句時,提供了#和$兩種方式 進行模糊查詢。
$表示拼接字串,將接收到的引數內容不進行任何處理拼接在sql中,會出現sql注入問題。
#會先對sql語句進行預處理,不會出現sql注入問題。
4.cookie安全
cookie僅儲存sessionid值,並且將cookie屬性設定為httponly,防止js**通過document獲取cookie。
5.異常處理頁面處理
不要直接丟擲異常的詳細資訊給使用者,自定義乙個exception類將異常資訊包裝起來,防止使用者看到程式內部的一些細節。
6.日誌
增加服務的訪問日誌,記錄來訪者的ip及傳遞引數,記錄後台管理人員的操作內容。完整的日誌記錄可以幫助我們發現潛在危險,找到已經發生的問題。
1. mysql插入中文發生亂碼
my.cnf檔案
character-set-server=utf8
[client]
default-character-set=utf8
[mysql]
default-character-set=utf8
(待續)
It面試問題
一般第一輪技術面都是來考察你最基本的技術功底。招聘季節,隨處可見抱著厚厚的 程式設計師面試寶典 啃的學生。偶爾也能看見 程式設計之美 劍指offer 的神書。這些經驗書確實有用。但是要想全面的掌握筆試面試的基礎考點,還是需要完整的複習。其實,筆試面試對計算機基礎的考察是萬變不離其宗的。其考點無非分為...
web前端 面試問題總結2020
1.var let const 的區別,以及變數提公升,函式提公升1.不存在塊作用域 2.可以多次宣告 覆蓋 3.存在變數提公升 當var a 1 時候,會先在作用域的最頂端,var a 然後在var a 1 的位置給a賦值 1.存在塊作用域 經典例題 for迴圈給多個dom新增時間,輸出for迴圈...
面試 Hbase面試問題
1.hbase怎麼預分割槽?2.hbase怎麼給web前台提供介面來訪問?3.htable api有沒有執行緒安全問題,在程式中是單例還是多例?4.hbase有沒有併發問題?5.metaq訊息佇列,zookeeper集群,storm集群,就可以完成對 推薦系統功能嗎?還有沒有其他的中介軟體?6.st...