常见10大web安全防护（一分钟快餐）

今天总结了一下常见web开发安全措施，因个人能力有限，总结如下，如有遗漏或者不全部对之处，欢迎大家公众号留言

1：敏感信息加密传输与存储（密码、银行卡号等等）

2：表单提交使用POST方式，不使用GET（太简单了，你肯定懂的）

3：参数名尽量简短模糊，切记不出现id=。。。，pwd=。。。。id等唯一性记录，不要设计为数值，尽量不作参数传递（防止被遍历1、2、3、4）

4：系统交互凭证加密cookie保存（跨域获取怎么解决呢。。。）

5：web交互信息需要做验证（防止SQL注入和js植入）

6：上传下载文件需要限制文件大小、文件类型以及操作频次

7：协议加密，防止破解

8：对登账号的登录行为进行画像（例如登录端是pc还是手机，浏览器UA类型，登录区域以及频次等等）

9：数据库启用预编译语句（防止SQL注入），数据查询做好数据权限控制（即使数据泄露也只是一下部分，而不是一个整体）

10：OS的系统文件禁止读写

11：启用https（写着写着多了一条）