我知道SQL注入是一个......其他的是什么......
OWASP.org保留一份清单.从OWASP前十名开始.
其他人说过这个,但......
基本上所有安全漏洞都来自数据.如果您的程序不处理任何数据,那么它可能是安全的.它也可能是没用的:).
这导致了我认为使代码安全的核心概念:
不要相信你的数据.永远.
尽可能消毒一切.您可以依赖平台的安全保证(例如,您不太可能在Java或C#等托管语言中看到基于字符串的经典缓冲区溢出),但您需要验证应用程序中的所有内容. .
永远不要存储明文密码.(我不能告诉你我为我的公司评估了多少商业套餐 - 当我打电话给他们时,我对它采取了冷淡态度.我最喜欢的借口来自CRM供应商:"你的最终用户通常会有企业管理器或查询分析器在他们的桌面上?")
京公网安备 11010802040832号 | 京ICP备19059560号-6 