数据安全成为系统考量合格的一个标准,系统安全性一般情况下包括以下几点:
1、XSS Dom漏洞,这个漏洞可以使用户的一些数据丢失,使用的时候谨慎注意过滤一些特殊字符;
2、SQL注入式攻击,该漏洞主要是通过编写一些组合SQL脚本语句导致,处理的方式也就是前后台都要过滤特殊字符,同时尽量少使用SQL拼接语句;
3、代码编写规划:这个和个人习惯有关,举个例子:
业务场景:登录学生系统,根据学生名查询学生部分信息,然后通过学生ID查询学生详细信息;
存在问题:这个查询的设计可能泄露所有用户的信息,原因在于学生的ID是自增的,如果我遍历所有ID字段,模拟查询学生详细请求就会导致学习信息泄露。
业务小结:所以做查询的时候,要考虑好数据的安全设计,不要很随性很方便的任性操作;
4、服务器部署:
有些企业会把文件服务器部署到内网,外网服务器和文件服务器是局域网,那么用户访问外网服务器获取文件的流程就能变成:
用户请求----->外网服务器--->文件服务器,将文件读写展现到用户面前;
这样做的好处也很明显:及时外网服务被攻击,文件服务器不受到影响,文件服务器不丢失,这样部署就很安全;
那么外网服务器和文件服务器之间的交互方式:
1> 大部分采用的方式数据流;
2>当然也现将文件转换成二进制,二级制转换base64字符串,字符串展现到外网服务,外网服务组合转换成二进制流展现给用户;
原文:http://www.cnblogs.com/xibei666/p/5625321.html