前端数据的不信任原则
对用户输入校验包括
表单验证
正则表达式规范数据
限制长度
转换特殊字符
sql注入
不使用动态拼接sql
使用参数化的SQL
使用存储过程查询存取
管理员权限数据库连接
有限的数据库连接(单独权限)
机密信息不可明文存放
加密
或者hash
xss(非法获取用户信息)
用户输入做字符过滤
做好 encode处理
encodeURI 方法:返回编码为有效的统一资源标识符 (URI) 的字符串。
decodeURI 方法:返回一个已编码的统一资源标识符 (URI) 的非编码形式。
escape 方法:返回一个可在所有计算机上读取的编码 String 对象
encodeURIComponent:将文本字符串编码为一个统一资源标识符 (URI) 的一个有效组件。
decodeURIComponent 方法:返回统一资源标识符 (URI) 的一个已编码组件的非编码形式
采用post而不是get提交表单
csrf(替用户完成一些动作)
传输数据协议
webSocket
http
https
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
