安全上要注意的點:
1.做好路徑被頻繁請求的屏蔽,比如驗證碼,
1.前臺頁面傳來的參數全不可靠,後臺接收時和保存前要做參數過濾和數據檢查
1.越權操作,(不同級別,平級越權)
1.數據庫字段長度的限制
1.敏感信息的加密處理
1.防注入,後臺參數和sql的寫法
1.需要走電科院測試才能更新版本,自己留好後門進行自動更新版本的操作,(這個很6,可以將sql和配置寫在前臺頁面,通過替換xml頁面配置文件,來更新版本。當然這個xml文件是要加密的,然後存到庫的對應數據都是密文)
一開始,爲了防止用戶的平級越權,(a用戶通過了登錄驗證,進行查詢時,給了b的sfz,查出b信息),我們在每個查詢的時候都加了一段根據登錄信息拿相應userId的操作,發現,爲了防越權做了很多操作。
後來某架構師給了我們些建議:有些細化到按鈕或者一個點的權限,都存到庫的時候,如果各種權限交合在一起,會以笛卡爾積的形式擴增導致數據庫查詢的壓力,後期權限可能會存幾千萬條。
他們是通過路徑來判斷權限的,所有頁面請求路徑,先經過一個filter,每個功能菜單menu定義一個唯一路徑,經過filter分析用戶有沒有該路徑的請求權,沒有重定向的登錄,即可做到屏蔽的效果。