java web開發之安全事項

開發的安全標準，總結如下。

      1.絕對絕對絕對要採用預先處理的方式來進行sql操作，如果實在需要做sql語句的拼接，那麼請做輸入資訊的過濾。selet,update,delete,insert,and,%,',_,這些都屏蔽了吧。

      2.一般的sql注入都是從網站的前台網頁尋找漏洞，建議針對前台操作和後台操作分別建立資料庫操作使用者。前台的使用者只賦予實際需要的基本許可權。後台使用者可許可權可以寬鬆些但也只能針對當前庫。切不可用root層級的使用者作資料庫連接。否則資料丟了，你都沒地方哭去。

      3.使用者登入表的密碼一定要加密，如果可以也可將使用者名稱一併加密。這是以防萬一的最後手段，當對方看你的使用者登入表的時候起碼看到也不知道是什麼。

      4.jsp檔案集中放到指定的檔案夾下，如果你使用struts那麼你可以將struts使用的檔案放在WEB-INF目錄下的某個檔案夾中，因為該WEB-INF檔案夾網站瀏覽使用者是看不到的。

      5.檔案上傳一定要做類型檢查，一些jsp,php,asp等程式檔案堅決不能讓其上傳。如果你用的是linux 下apache+tomcat 做的jk串連，你可以將檔案直接上傳到apache目錄，或者用ln作軟串連，萬一對方上傳了jsp檔案你沒判斷出來，那麼也是傳到了apache目錄下，你在jk指向中

將jsp檔案指定到tomcat中某一檔案夾，對方在瀏覽器中是無法訪問上傳的jsp檔案的。

      6.日誌，建議增加服務的訪問日誌，記錄來訪者的IP，傳遞參數，對後台操作使用者建立日誌，記錄其操作內容。完善的日誌記錄可以協助你發現潛在的危險，找到已經發生的問題。

      臨時想到這麼多，寫的很粗糙以後再慢慢補充完善。最後忠告我的程式員朋友，做人要低調，做事要踏實，這年頭隨便一個網民登陸個駭客軟體就沒準吧你黑了。當你發現黑你網站的那個人不過是個業餘網民，相信你一定有被小baby暗算，恨不能找塊豆腐撞死的感覺。算了不說了，總之低級問題總會出在懈怠的時候，所以精神點。