链接:http://blog.jobbole.com/16240/
导读:本文来自StackOverflow上的一个问答贴。网友 M.H 提问:
目前这个问题得分最高的回复是由 bignum 提供的,如下: 如果想要你的程序是安全的,请记住如下原则: ● 不要信任用户的输入信息! ● 验证所有来自非信任源的输入信息,是使用白名单,不是黑名单。 ● 从一开始就要策划安全。安全并不是可以在最后来做的。 ● 保持简单。复杂性会增加安全漏洞的可能性。 ● 最低限度保持你程序的攻击面(attack su**ce)。 ● 确保程序有“自动防故障装置”(Fail-safe) ● 采用深度防御(defence in depth) ● 坚持最小特权原则(least privilege) ● 采用威胁建模(threat modelling)(Web程序更应如此) ● 权限分离(Compartmentalize) ● 没有不透风的墙,在代码中隐藏秘密都无法长久。 ● Don’t write your own crypto / 不要自己编写一种加密方法 (译注:见下文另外一位网友的回复) ● 采用加密(crypto),并不意味着你就安全了(攻击者会寻找弱点) ● 注意缓冲区溢出,并了解如何防范 下面是一些优秀书籍和在线文章: ●《 Writng Secure Code | 编写安全的代码 (第二版)》- 我认为每个程序员都该读读这本书 ● Building Secure Software: How to Avoid Security Problems the Right Way | 构建安全的软件:避免产生软件安全问题的正确方法 ● Secure Programming Cookbook for C and C : Recipes for Cryptography, Authentication, Input Validation |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
