金融项目经验之代码安全

金融项目开发，貌似我都写了一个系列了～

有兴趣可以看看～虽然不是专业搞网安～但简单的还懂点～

做开发一方面熟知的漏洞如xss或者csrf或者sql注入

另一方面就是代码写法的安全性～

代码写法上不安全就会导致某些问题～

比如说id传值的问题～id=1，2，3这种样子～

或者某些传参数的接口～

有些就会出现问题～

对于这种细粒度的权限问题～

在代码里写逻辑～

判断当前用户的操作～

还有就是文件类～

文件的读取最好是一个fileid或者file的一个对应的哈西码～能唯一确定该文件的编号～

如果说直接在链接里能有file的文件地址～

就要注意如下操作了～

比如 path=../etc/password

或者 ../WEB-INF/web.xml

能下载到你的服务器上的一些资源～

这种样子过滤 ../

还有就是将网站的错误页面配置好～不要给黑客看到你的错误页面～

错误页面有些时候会告诉黑客你用的是什么版本的软件～

你可能代码上没有漏洞～

软件版本有漏洞就会造成入侵～