关于安全：有必要对每一个客户端输入的参数进行验证吗？

dragoonl 2018-11-09 11:14:15

由于
* 验证是用正则，而大量的正则可能会影响性能。
* 经测试，用了input函数与htmlentities全局过滤，已能转换掉攻击的字符。

所以
我想仅在表单提交时用验证。

担心
恶意对各参数填入超长字符，也会影响性能。

...全文

34 4 打赏收藏转发到动态举报

写回复

4 条回复

切换为时间正序

请发表友善的回复…

发表回复

tottyandbaty 2018-11-10

打赏
举报

回复

永远不用相信用户输入的东西。。。。

dragoonl 2018-11-10

打赏
举报

回复

怎么看像卖广告，不像回答问题？好吧，分分算了

爱因斯坦小弟 2018-11-09

打赏
举报

回复

过滤非表单传过来的数据

下雨的声音丶 2018-11-09

打赏
举报

回复

不要相信任何传递过来的数据

WEB2.0的普及，丰富了各类WEB产品。WEB交互能力的增强，也滋生出种类繁多的安全威胁，用户输入便成了万恶之源，不仅威胁用户信息安全，也给服务器、操作系统，甚至整个局域网带来灾难，因此，验证用户输入是WEB应用必不可少的安全防范举措。 1 输入为何需要验证输入验证一般基于两个方面的原因：一是为了保证业务功能的合理性，二是为了保证用户数据、应用程序及内部系统和网络的安全。 1

客户端验证：好处是快，对客户来说比较友好，通过js或VB来进行本地验证，不用把这个过程提交到服务器，比如说一个注册页面，填好注册信息后，你点击提交按钮，那么它没有跳转就提示你填写有误，这一过程一般很快，返回时页面也不晃动，但如果用服务器端验证，你填好后，可能会跳到另一页面，返回得很慢，中间有可能有一段空白时段，返回后页面出现重写或晃动返回服务器端验证：好处是安全，利于保存客户重要信息。

过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤，你可以避免被污染（未过滤）数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。我所指的过滤输入是指三个不同的步骤：识别输入过滤输入区分已过滤及被污染数据把识别输入作为第一步是因为如果你不知道它是什么，你也就不能正确地过滤它。输入是指所

参数验证很重要，是平时开发环节中不可少的一部分，但是我想很多后端同事会偷懒，干脆不错，这样很可能给系统的稳定性和安全性带来严重的危害。那么在Spring Boot应用中如何做好参数校验工作呢，本文提供了10个小技巧，你知道几个呢？虽然 Spring Boot 的内置验证注释很有用，但它们可能无法涵盖所有情况。如果有特殊参数验证的场景，可以使用 Spring 的 JSR 303 验证框架创建自定义验证注释。自定义注解可以让你的的验证逻辑更具可重用性和可维护性。假设我们有一个应用程序，用户可以在其中创建帖子。

Go和HTTPS 四月 30, 2015 27 条评论近期在构思一个产品，考虑到安全性的原因，可能需要使用到HTTPS协议以及双向数字证书校验。之前只是粗浅接触过HTTP（使用Golang开发微信系列）。对HTTPS的了解则始于那次自行搭建ngrok服务，在那个过程中照猫画虎地为服务端生成了一些私钥和证书，虽然结果是好的：ngrok服务成功搭建起来了，但对HTTPS、数字证书等的基本原理并未求甚解。于是想趁这次的机会，对HTTPS做一些深度挖掘。主要途径：翻阅网上资料、书籍，并利用golang

21,886

社区成员

140,364

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章