代码审计参考 java信息安全资料.docxVIP

数据/输入验证

确保存在一个数据验证机制。

确保对所有会被恶意用户修改的地方，比如http头部、数据域、下拉列表和其他网站组件进行适当的验证。

确保检查所有输入数据的长度。

确保验证所有的域、cookie、http头部和体部以及表单。

确保数据格式格式良好并且只包含已知的安全字符。

确保在服务器端进行数据验证。

如果使用了集中或者离散程序，要审查数据验证的地方。

确保在数据验证程序中没有后门。

黄金法则：对所有的额外输入，无论是什么，都要进行审查和验证。

SQL注入

问题简介

通过用户输入构造一个动态SQL指令，攻击者就能够修改指令的含义或者执行任意的SQL命令。

详细描述

SQLi