- 跨站脚本
你在页面输入一些alert语句,或者onchage存储到数据库时,当这些值返回到页面时,会不会触发一些javascript事件?所以这时应该对一些特殊符号进行一些转义操作,如" "或<>,()等。
- sql注入
你在页面输入一些参数时,很可能这些值是某个sql语句的条件值,当你在后面加一些多的语句,例如:' drop table xxx;这时就有可能存在sql注入的风险,所以在mybatis中,应该使用#而不是使用$去接收参数,因为#会把所有接收过来的参数转换成字符串形式,不存在注入风险。
- 跨目录访问
在你下载某个文件时,很可能地址上把文件路径显示出来,这时如果被别人改个系统盘路径,很可能就被别人把你电脑上的机密文件给下载下来,所有这时不应该把文件路径显示在地址上,或者进行加密处理。
- 权限控制
这是项目最重要的安全问题,在这里不多说。