代码部分基本都采用存储过程,
有很多方面需要注意,比如说任何代码拼接的地方,都可能存在注入攻击的可能,比如js、sql,需要对用户输入进行过滤,防止输入的文本被当作程序执行。网络通讯要防止数据的监听、拦截和欺骗。在移动互联网时代,用户喜欢使用各种无线热点上网,而无线热点的设置者,可以通过拦截用户和服务器的通讯获得一些敏感数据,因此有必要对通讯进行加密。要牢记客户端是不可信任的,所有的业务逻辑在客户端限制了,还需要在服务器端再次验证限制。
没有任何的安全措施能做到万无一失,因此,对于生产环境的数据要日日备份,对于任何敏感操作要全部日志记录。做到遇到安全事件,数据可恢复,操作可追溯,损失可控。