代码安全编写规范

资源ID：478998408 资源大小：22.04KB 全文页数：4页
资源格式： DOCX 下载积分：10金贝

快捷下载

账号登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要10金贝

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

1、金锄头文库是“C2C”交易模式，即卖家上传的文档直接由买家下载，本站只是中间服务平台，本站所有文档下载所得的收益全部归上传人（卖家）所有，作为网络服务商，若您的权利被侵害请及时联系右侧客服；
2、如你看到网页展示的文档有jinchutou.com水印，是因预览和防盗链等技术需要对部份页面进行转换压缩成图而已，我们并不对上传的文档进行任何编辑或修改，文档下载后都不会有jinchutou.com水印标识，下载后原文更清晰；
3、所有的PPT和DOC文档都被视为“模板”，允许上传人保留章节、目录结构的情况下删减部份的内容；下载前须认真查看，确认无误后再购买；
4、文档大部份都是可以预览的，金锄头文库作为内容存储提供商，无法对各卖家所售文档的真实性、完整性、准确性以及专业性等问题提供审核和保证，请慎重购买；
5、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确)，网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据；
6、如果您还有什么不清楚的或需要我们协助，可以点击右侧栏的客服。

下载须知 | 常见问题汇总

1、会员注册 2、如何支付与充值 3、个人资料信息修改 4、我的收藏和“收藏文件夹” 5、我的读者群和加入读者群 6、我的书签 7、金锄头文库批量上传工具（绿色版）V1.0 8、下载文档（资源）相关问题整理 9、解决下载文档时，自动弹出迅雷的问题 10、下载时为什么支付不成功？

代码安全编写规范

代码安全编写规范1. 安全编码1.1. 通用编码原则（一）不要信任外部的用户输入或系统。应用程序应该彻底验证所有用户输入,然后再根据用户输入执行操作。验证可能包括筛选特殊字符。针对用户意外地错误使用和某些人通过在系统中注入恶意命令蓄意进行攻击的情况，这种预防性措施对应用程序起到了保护作用。常见的例子包括SQL注入攻击、脚本注入和缓冲区溢出。止匕外，对于任何非受控的外部系统，都不要假定其安全性。（二）不要通过隐藏来保障安全。尝试使用让人迷惑的变量名来隐藏机密信息或将它们存储在不常用的文件位置,这些方法都不能提供安全保障，最好使用平台功能或使用已被证实可行的技术来保护数据（三）以安全的方式处理失效如果应用程序失效（如发生严重错误等），要恰当的进行处理，一定要保护好机密数据。同时，在向最终用户返回错误消息时,不要公开任何不需要公开的信息。也就是不要提供任何有助于攻击者发现应用程序漏洞的详细信息。1.2. 防范常见安全编码问题在实现应用软件的编码阶段，也较容易因缺乏严谨思考或不好的编程习惯而引入安全问题,而且这些安全问题产生的危害作用非常大,因其产生的漏洞常常会造成应用程序中其他部分构筑的安全控制措施完全失效.目前存在的相当数量系统漏洞都是由编码问题造成的.因此要想保证应用软件的安全性,必须在编码阶段继续高度贯彻安全性原则。在编码阶段,避免安全问题的基本原则如下:?程序只实现指定的功能?永远不要信任用户输入,对用户输入数据做有效性检查?必须考虑意外情况并进行处理?不要试图在发现错误之后继续执行?尽可能使用安全函数进行编程?小心、认真、细致地编程目前在各种应用软件中常见的安全漏洞如下所示，应对这些常见问题进行有针对性的防范.1.2.1 缓冲区溢出如果对输入参数（字符串、整数等）处理时长度检查不严格，或对指针和数组越界访问不进行保护，就容易产生缓冲区溢出（BufferOverflow）问题，这种问题主要出现在主要出现在C/C+语言编写的系统中，它造成的漏洞是当今绝大多数安全漏洞的主要根源.在Java/.NET等利用虚拟机的（托管）平台上不会产生此问题。要避免此问题，则必须对系统输入数据进行严格的长度检查，废弃或截断超长的越界数据,同时利用基础库函数中的一些更为安全的字符串处理函数来处理数据,也可以利用编译器或代码复查工具提供的检查功能来尽早发现可能会产生问题的程序1.2.2 输入非法数据恶意的攻击者会尝试在用户界面或接口中向系统输入恶意数据，以便期望绕过系统的安全限制,致使系统出甚至崩溃或其他非法目的,因此在编码时,须要对所有输入数据（包括用户在界面中输入的数据和其他应用系统通过接口传递的数据）进行严格的合法性检查.1.2.3 SQL注入式攻击SQL注入式（SQLInjection）攻击是一种典型的,因对输入数据不当处理而产生的非常严重的安全漏洞。其原因是基于数据库的应用程序中经常会使用动态SQL语句,而且在程序又没有对输入数据严格检查,致使攻击者能在界面层或接口层注入非法的SQL语句，从而非法访问和破坏数据、反向工程、甚至对服务器本身造成威胁。对于攻击者来说，SQL注入式攻击是一种简单有效的攻击方式，也是首选方式，尤其是在基于Web的应用程序中,因此开发人员必须重点关注此问题.预防SQL注入式攻击的手段就是严格检查用户输入的数据，要使用基础系统提供的参数化查询接口，避免使用字符用来构造动态SQLS询。同时对于数据库对象的访问权限进行严格限制,避免恶意SQLS旬破坏数据或系统。1.2.4 拒绝服务攻击拒绝服务攻击（DenialofServicesDoS）是指通过大量并发访问，使得服务器的有限特定资源（如网络、处理器、内存等）接近枯竭,使得服务器或操作系统失效的攻击行为。D。数击的一般方式有发送大量数据包造成网络阻塞、执行内存泄漏代码使得系统可用内存越来越少、执行大量消耗CPLM理能力的代码、通过客户端发送大量的HTTP青求造成巨量We距击以及SYNF1ood等.DoS攻击虽然不会直接对服务器本身带来损坏,但它使得真正的合法用户无法访问系统，从而可能带来业务上的损失。除了DoS!外，攻击者还可能利用数量庞大的攻击源发起DDoS（DistributedDoS分布式拒绝服务）攻击，其破坏和危害作用更大。在编码时要注意防范可能的DoS攻击，具体措施包括提高软件行为的可管理性、主动拒绝异常连接、自动锁定攻击源、提供实时监控界面,能够有效甄别攻击源、具有（异常）事件报警机制、具有审核日志等.通过这些主动或被动的防御手段,能够将DoS/DDoS攻击行为带来的破坏和危害降到较低水平。1.2.5 敏感信息泄露攻击者可能会通过暴力攻击、侦听、截取中间数据、反向工程、社会工程学（SocialEngineering）等手段，获取访问凭据或机密信息，危及数据的私有性/安全性或者暴露敏感的商业数据，如用户名口令、加密密钥、数据库连接串、商业敏感信息等。因此在处理这些数据时,必须利用以密码技术为主的安全技术来进行强有力的机密性保护.在使用密码技术时,一般要利用公开的、经过广泛验证的可靠加密算法,同时加强密钥的管理和保护（具体参见密码算法指南和密钥管理规范）。

注意事项

本文（代码安全编写规范）为本站会员（夏**）主动上传，金锄头文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即阅读金锄头文库的“版权提示”【网址:https://www.jinchutou.com/h-59.html】，按提示上传提交保证函及证明材料，经审查核实后我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。