《软件工程》课件——38初识数据与安全.pptxVIP

2026年3月9日

初识数据与安全设计

2026年3月9日

章节内容

数据存储结构（InnoDB支持事务、外键；MyISAM不支持外键，适合读多写少）

数据存放位置（本地、云、分布式存储）

数据存取方法（索引、过度索引）

数据库表结构设计（关系型数据库）

规范数据表（采用何种范式）

关联数据表（表之间的关联关系）

设计数据视图（按需设计）

2026年3月9日

数据与安全

1.数据库设计

数据库设计

逻辑结构设计

物理结构设计

2026年3月9日

数据与安全

2.安全设计

代码安全

传输安全

访问安全

数据安全

2026年3月9日

数据与安全

2.安全设计—代码安全

2026年3月9日

数据与安全

2.安全设计—代码安全

代码安全的七种典型漏洞分类

2026年3月9日

数据与安全

2.安全设计—代码安全

七种典型漏洞示例

漏洞分类

输入验证与表示

API滥用

安全特征

时间与状态

错误处理

代码质量

环境与封装

实例说明

登录框输入“or1=1#”，拼接SQL绕过验证

某接口“/getUserInfo”未验证token，恶意用户直接请求获取用户身份证号

某系统“忘记密码”功能未限制尝试次数，攻击者暴力枚举破解密码

某抢购系统未校验库存实时状态，用户同时下单导致超卖

程序报错输出“数据库连接失败：user=root;password=123456”，泄露数据库账号密码

某Java程序存在空指针异常（未判空就调用对象方法），导致系统崩溃

服务器默认开启目录浏览，用户访问“/backup/”可下载数据库备份文件

危害

非法登录，获取所有用户数据

敏感信息泄露

账号被非法登录

业务逻辑混乱，经济损失

数据库被非法入侵

服务不可用，用户体验差

核心数据泄露

2026年3月9日

数据与安全

2.安全设计—代码安全

防护措施

代码安全建议

2026年3月9日

数据与安全

2.安全设计—代码安全

防护措施与漏洞对应关系

防护措施

集中输入验证

建立可信边界

拒绝验证失败请求

控制写入日志信息

防范元字符攻击

环境安全检查

对应漏洞类别

输入验证与表示

API滥用

安全特征

错误处理

输入验证与表示

环境与封装

匹配逻辑

通过统一校验输入数据格式、内容，防范SQL注入、非法输入等“输入验证与表示”类漏洞

明确API的访问权限和范围，防止未授权调用、过度调用等“API滥用”类漏洞

限制密码尝试次数、验证码校验等，防范暴力枚举密码等“安全特征”类漏洞

避免日志中泄露数据库账号、用户隐私等敏感信息，解决“错误处理”类漏洞的信息泄露风险

过滤SQL、命令中的特殊元字符（如

#

;），直接防范“输入验证与表示”类的元字符注入漏洞

检测并关闭服务器目录浏览、冗余端口等，解决“环境与封装”类漏洞的环境配置风险

2026年3月9日

谢谢观看

鸟欲高飞先振翅，人求上进先读书!