java web开发之安全事项

开发的安全标准，总结如下。

      1.绝对绝对绝对要采用预处理的方式来进行sql操作，如果实在需要做sql语句的拼接，那么请做输入信息的过滤。selet,update,delete,insert,and,%,',_,这些都屏蔽了吧。

      2.一般的sql注入都是从网站的前台网页寻找漏洞，建议针对前台操作和后台操作分别建立数据库操作用户。前台的用户只赋予实际需要的基本权限。后台用户可权限可以宽松些但也只能针对当前库。切不可用root级别的用户作数据库连接。否则数据丢了，你都没地方哭去。

      3.用户登录表的密码一定要加密，如果可以也可将用户名一并加密。这是以防万一的最后手段，当对方看你的用户登录表的时候起码看到也不知道是什么。

      4.jsp文件集中放到指定的文件夹下，如果你使用struts那么你可以将struts使用的文件放在WEB-INF目录下的某个文件夹中，因为该WEB-INF文件夹网站浏览用户是看不到的。

      5.文件上传一定要做类型检查，一些jsp,php,asp等程序文件坚决不能让其上传。如果你用的是linux 下apache+tomcat 做的jk连接，你可以将文件直接上传到apache目录，或者用ln作软连接，万一对方上传了jsp文件你没判断出来，那么也是传到了apache目录下，你在jk指向中

将jsp文件指定到tomcat中某一文件夹，对方在浏览器中是无法访问上传的jsp文件的。

      6.日志，建议增加服务的访问日志，记录来访者的IP，传递参数，对后台操作用户建立日志，记录其操作内容。完善的日志记录可以帮助你发现潜在的危险，找到已经发生的问题。

      临时想到这么多，写的很粗糙以后再慢慢补充完善。最后忠告我的程序员朋友，做人要低调，做事要踏实，这年头随便一个网民登陆个黑客软件就没准吧你黑了。当你发现黑你网站的那个人不过是个业余网民，相信你一定有被小baby暗算，恨不能找块豆腐撞死的感觉。算了不说了，总之低级问题总会出在懈怠的时候，所以精神点。