app后台开发一枚,现在要对整个项目做一些安全性,比如拦截非法请求,sql注入什么的
后台开发技术:spring + mybatis + mysql
求一些思路。麻烦了。
比如检查密码的sql语句一定要处理特殊字符? = ' 等等,最后还是要写file。将你所设想到的情况全写下来。后期安全还有问题再添加。
最好安卓请求时要带上自己的用户信息
接口的话,多加一些加密处理了,然后在登录的时候带token,再就是服务器的时候加ip的控制了
只要防范XSS、CSRF和SQL注入漏洞,XSS通过过滤输入文本解决,CSRF采用token解决,SQL注入的话,mybatis中别用${xx}用#{xx}就好,特别是like语句中。资料可以依照我刚说的几点去百度下哈,还有需要注意一下DDOS攻击,这个需要在前置的nginx或apache里头配置。其实根据统计,最大的漏洞还是业务逻辑漏洞,这个得QA去测才能发现。