s297165331的专栏

最近在开发dileber框架的生成工具，生成大概明天就能上线，中间先插入一段无关紧要的博客，博客主要讲关于网络安全的：日后会在dileber框架中体现安全开发---------------------------------------我是分隔线---------------------------------------------------------------------

做金融项目安全貌似很重要～在上线前要做一些渗透测试一类的～我虽然不是专业的安全测试的～简单的瞎扯扯也是可以的～sql注入貌似是个老生常谈的问题～虽然目前来说并不是很多,但是由于程序员的代码编写问题，有时候的确还会出很多问题～程序员开发的时候有些时候不注重代码安全就会出现sql注入～我个人做开发的时候一般都用mybatis～公司貌似喜欢用 spring template～当然都差不多～字符串拼接有时候

xss是跨站脚本攻击的简称往往是攻击者输入的脚本决定攻击的力度简单的就是一个js弹框,为了检测系统有没有xss漏洞～其他的还有嵌入ifrom，img一类的～危害是可以窃取用户cookie～伪造用户登陆～发生这种原因一般都是用户输入了脚本被浏览器执行了～如果你要想预防这种情况～不要尝试在输入端去解决攻击，貌似不是太好～网络上很多介绍在输入端做检测做判断～但是在输入端做检测的话，一是代码量繁杂，其次黑客

最近都在写关于安全的一类文章～都是个人公司项目里学到的东西～大牛路过的话～就随意看看就好了～有什么问题求指正～我个人认为金融公司对安全应该多做研究～记得去年有一家金融公司～被一群人薅了羊毛～如果想了解这个情况～自己百度搜“快操盘事件”csrf是什么呢？～跨站请求伪造～和xss相比貌似危害大一些～它的作用可以假装是你～然后用你的身份去干一件事～这个事情可能是修改你用户名这么简单～也可能是将你账户里的钱

金融项目开发，貌似我都写了一个系列了～有兴趣可以看看～虽然不是专业搞网安～但简单的还懂点～做开发一方面熟知的漏洞如xss或者csrf或者sql注入另一方面就是代码写法的安全性～代码写法上不安全就会导致某些问题～比如说id传值的问题～id=1，2，3这种样子～或者某些传参数的接口～有些就会出现问题～对于这种细粒度的权限问题～在代码里写逻辑～判断当前用户的操作～还有就是文件类～文件的读取最好是一个fil