Java代码规范

以下列出了一些使用的Java代码规范的原则，这些原则来源于java.sun.com，是Sun公司制定的Java编程语言编码规范。（注意：这个网站上有很多Sun推荐的规范，你一定要去看一看。）

1, 所有文件的开头都要有Java文档的注释。

2,文件里的代码的首行是所在包的说明，接下来是引入类的说明。

3,包名以一个小写的顶层域名开始（例如，com.或edu.）。

4,类和接口名应该是名词，而且组成它的每个单词的首字母必须大写（例如，EmployeeHours）。

5,所有的类文件应该包含以下部分：

6, 该类的Java文档；

7, 变量列表：静态变量、实例变量（public、protected、no access specified和private）；

8, 方法列表：构造体和方法（方法应该按照功能分组）。

9, 方法名应该是动词，第一个单词的首字母小写，接下来的单词的首字母大写（例如：getHoursWorked）。

10, 变量应该以字母打头，只有一个字母的变量（例如，i、j、k）应该避免出现，除非是一个暂时变量（例如，在一个for语句中）。

11.尽量使类中所有的变量都是私有的，只能通过方法来访问它们。

12,常量应该全部大写，单词之间由下划线分隔（例如，MAX_WORK_HOURS）。

13,用常量来定义具体数值（例如，int MAX_WORK_HOURS=24）。

       14, 内部变量声明时应该对它进行初始化。

       15,避免一行中超过80个字符。

       16,一行应该包含一个语句。

       17,在使用if-else、for、while、do和switch语句时应该使用大括号。                                                   

以下是提高Web应用程序安全性的一些指导原则。要想对这方面有更深入的了解，请访问owasp.org网站。

~ 不仅在客户端而且要在服务器端对浏览器的输入信息（参数、特殊字符、SQL注入）进行验证。如果你直接使用JDBC，请考虑使用java.sql.PreparedStatement，而不是java.sql.Statement。

~ 不要在与Web相关的代码中使用shell脚本（Runtime.exec），这会引起黑客的攻击。

~ 不要到处保存敏感数据（在数据库、文件等地方）。如果你必须要对它们进行保存，那就保存它们加密后的结果。

~ 禁止对系统资源的直接访问——例如，文件、数据库、类或程序。关闭对Web服务器端路径的浏览，不要使用文件名或路径名作为路径（例如，隐藏WEB-INF下的JSP文件）。

~ 对于敏感数据的传输请使用HTTPS而不是HTTP，例如：用户名、密码、财务数据、健康信息、政府信息。

~要求使用强壮的用户id和密码（例如，密码最少要有6到8个字符而且要有特殊字符）。

~要记住，隐藏的HTML的域并不是隐藏的，任何人都可以通过浏览器看到HTML的源代码。

~当三次输入错误的验证信息后应该禁用该用户的账户或暂时禁用。

~不要保存明文的密码。

~记录所有的或是有疑问的操作的日志。

~使用行业标准的协议或是经过详细测试过的安全的协议。

~ 对于传输敏感数据，POST比GET要好一些（例如，在浏览器地址栏或访问日志中都会看到相关内容）。建议：使用Firefox的Tamper Data extension进行安全性测试。

~ 进行代码审查，你的同事会发现你丢掉的东西。

~一定要小心跨网站的脚本（XSS），黑客会使用这个技术盗取用户的个人信息。

~ 最后，但也很重要的，确实有黑客或一些人试图去破译密码。你需要总是对安全性有所警惕。要像黑客一样去思考，黑客要比你了解的多得多，对你的系统会进行定期的扫描。记住，你不可能完全避免安全隐患，但是你可以解决和控制它。更重要的是，还有很多蠕虫在探测系统的漏洞。一旦发现某个漏洞，它就会进入并对系统造成影响。