V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kexxxfeng
V2EX  ›  程序员

作为一个程序员,在开发的过程中应该注意哪些安全方面的问题?

  •  
  •   kexxxfeng · 2016-05-06 13:30:42 +08:00 · 5254 次点击
    这是一个创建于 3126 天前的主题,其中的信息可能已经有所发展或是发生改变。

    产品的安全性,在一定程度上和开发者的安全素养有直接关系。

    那么作为一个程序员,在开发的过程中应该注意哪些安全方面的问题呢?

    我知道的有:

    1 、递归层数过多,会导致 cpu 占用过高,甚至崩溃。

    2 、 sql 脚本注入,不过现在用 orm 框架,这种常见的 sql 注入漏洞很少出现了。

    ----

    暂时就想到这两点,欢迎盖楼。

    28 条回复    2016-05-07 00:54:53 +08:00
    msg7086
        1
    msg7086  
       2016-05-06 13:35:33 +08:00   ❤️ 1
    递归层数和 CPU 占用有直接关系吗?
    jeffersonpig
        2
    jeffersonpig  
       2016-05-06 13:35:37 +08:00
    各种数据类型的溢出
    公司域帐号邮箱帐号等的使用安全,不要乱注册其它东西,密码也不要跟自己其它账号一样
    devqin
        3
    devqin  
       2016-05-06 13:40:01 +08:00   ❤️ 2
    imn1
        4
    imn1  
       2016-05-06 13:40:45 +08:00
    对一切你搜索的结果持怀疑态度




    特别是有小字写着“推广”的
    cwlmxwb
        5
    cwlmxwb  
       2016-05-06 13:43:57 +08:00
    @msg7086 会爆栈,程序奔溃,其他的倒是没什么
    qw7692336
        6
    qw7692336  
       2016-05-06 13:46:10 +08:00
    不用递归
    wjh3936
        7
    wjh3936  
       2016-05-06 13:49:39 +08:00
    别打死产品就好……
    kindjeff
        8
    kindjeff  
       2016-05-06 13:55:42 +08:00
    开发经验少,主要是用 PHP 做 web 的时候注意几个,前后端都做好特殊字符过滤,连数据库用 pdo ,用户的密码存的是加盐 md5 ,每个 post 提交都加 token 验证(感觉这个意义不大),在 PHP 里的每个操作都验证合法性(用户是登陆的,用户是管理员)。
    cxh116
        9
    cxh116  
       2016-05-06 13:58:09 +08:00
    知道自己复制的代码的意思
    zhujinliang
        10
    zhujinliang  
       2016-05-06 14:03:01 +08:00
    不要把代码放到 github 等公开的代码托管上
    inahesun8712
        11
    inahesun8712  
       2016-05-06 14:03:03 +08:00
    不要将公司的代码尤其是密码传到 github 或者网盘 ; 只有没问题 不要手贱做优化或者重构
    qqmishi
        12
    qqmishi  
       2016-05-06 14:27:19 +08:00
    做好验证码防撞库。
    产品没问题防不住用户自己密码泄露啊
    SmiteChow
        13
    SmiteChow  
       2016-05-06 14:28:38 +08:00
    不要明文存储用户私密数据!
    lxjsmdc
        14
    lxjsmdc  
       2016-05-06 14:30:06 +08:00
    开发软件从官方网站右键另存为下载
    kulove
        15
    kulove  
       2016-05-06 14:31:14 +08:00
    xss
    sql 注入
    弱口令
    文件上传
    越权
    neoblackcap
        16
    neoblackcap  
       2016-05-06 14:42:39 +08:00
    @cwlmxwb 人肉尾递归优化
    8cbx
        17
    8cbx  
       2016-05-06 14:46:49 +08:00
    最应该注意的是人身安全……
    tvallday
        18
    tvallday  
       2016-05-06 14:50:04 +08:00
    慎用第三方的库。
    qfdk
        19
    qfdk  
       2016-05-06 15:10:11 +08:00 via iPhone
    @inahesun8712 哈哈哈 老死机😝 github 可以找到很多意想不到的东西
    phithon
        20
    phithon  
       2016-05-06 15:23:14 +08:00
    icybee
        21
    icybee  
       2016-05-06 16:20:21 +08:00
    注意电脑全速运行时不要放在膝盖上,不然太专注可能烫伤重要部位
    paw
        22
    paw  
       2016-05-06 18:27:42 +08:00
    不要相信任何用户的输入
    dalaomj
        23
    dalaomj  
       2016-05-06 18:34:54 +08:00
    经常关注业界动态、论坛、业界大牛。。。以防有些重要的漏洞你不知道。
    比如大部分 web 开发语言的低版本有个 D.O.S 漏洞,很多人却不知道。
    bdbai
        24
    bdbai  
       2016-05-06 18:34:59 +08:00 via Android
    @kindjeff 很多人说加盐 MD5 也不安全,建议用 PHP 自带密码函数。 POST 上带的 token 可以防 CSRF ,所以人称 `csrf_token`。
    akagi
        25
    akagi  
       2016-05-06 18:46:59 +08:00
    业务场景都不一样,具体语言具体分析……
    libo26
        26
    libo26  
       2016-05-06 18:58:10 +08:00 via iPhone
    开发过程中异常考虑不全或者处理不当都可以看成安全问题,大致方案设计不合理,小至溢出、空指针引起服务 core 。异常太多,简直列不完
    kingoldlucky
        27
    kingoldlucky  
       2016-05-07 00:17:55 +08:00
    是个无底洞 漏洞无处不在
    lixingcong
        28
    lixingcong  
       2016-05-07 00:54:53 +08:00 via Android
    utf 和 gbk 一直是个坑
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1041 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:42 · PVG 04:42 · LAX 12:42 · JFK 15:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.