java,c/c++,php,c#安全編碼規(guī)范,從代碼層面避免被入侵 1 業(yè)務(wù)安全編碼規(guī)范 6 1.1 輸入驗證和數(shù)據(jù)合法性校驗 6 1.1.1 避免SQL注入 6 1.1.2 避免XML注入 6 1.1.3 避免跨站點腳本（XSS） 7 1.1.4 避免跨站請求偽造（CSRF） 8 1.1.5 避免敏感信息泄露 12 1.2 安全框架 12 1.2.1 Apache Shiro安全框架 12 1.2.2 webSecrity安全框架 13 1.2.3 Enterprise Security API 13 2 基礎(chǔ)安全編碼規(guī)范 15 2.1 聲明和初始化 15 2.1.1 避免類初始化的相互依賴 15 2.2 表達式 16 2.2.1 不可忽略方法的返回值 16 2.2.2 不要引用空指針 16 2.2.3 使用Arrays.equals（）來比較數(shù)組的內(nèi)容 16 2.3 數(shù)字類型和操作 17 2.3.1 防止整數(shù)溢出 17 2.3.2 避免除法和取模運算分母為零 18 2.4 類和方法操作 18 2.4.1 數(shù)據(jù)成員聲明為私有，提供可訪問的包裝方法 18 2.4.2 敏感類不允許復制 18 2.4.3 比較類的正確做法 19 2.4.4 不要硬編碼敏感信息 19 2.4.5 驗證方法參數(shù) 19 2.4.6 不要使用過時、陳舊或低效的方法 20 2.4.7 數(shù)組引用問題 20 2.4.8 不要產(chǎn)生內(nèi)存泄露 20 2.5 異常處理 21 2.5.1 不要忽略捕獲的異常 21 2.5.2 不允許暴露異常的敏感信息 21 2.5.3 不允許拋出RuntimeException, Exception,Throwable 22 2.6 多線程編程 23 2.6.1 確保共享變量的可見性 23 2.6.2 確保共享變量的操作是原子的 24 2.6.3 不要調(diào)用Thread.run（），不要使用Thread.stop（）以終止線程 26 2.6.4 確保執(zhí)行阻塞操作的線程可以終止 26 2.6.5 相互依存的任務(wù)不要在一個有限的線程池執(zhí)行 27 2.7 輸入輸出 27 2.7.1 程序終止前刪除臨時文件 27 2.7.2 檢測和處理文件相關(guān)的錯誤 27 2.7.3 及時釋放資源 27 2.8 序列化 28 2.8.1 不要序列化未加密的敏感數(shù)據(jù) 28 2.8.2 在序列化過程中避免內(nèi)存和資源泄漏 29 3 其他參考資料 30