代码规范安全培训

培训目的
1.提高程序人员的安全意识，认识到软件安全对信息安全的重要性，增强信息安全的责任感
2.让程序开发人员在开发过程中注意安全编码，显著减少或消除在部署之前的漏洞。
3.教会程序开发人员在开发阶段考虑安全问题，实施各种安全控制措施，从而达到早预防，节省成本的效果。
4. 教会开发人员识别在各开发平台上较常见安全漏洞及其根源，以及风险消除技术和手段
5.让程序员掌握在程序编写中要注意的安全细节，并学会使用安全最佳实践来预防常见的安全漏洞


关键点
1.在所有用户可以进行输入的地方（包括URL、用户提交意见栏、搜索栏、评论栏等），进行代码过滤。
2.对输入的参数验证使用白名单而不是黑名单。
3.添加检测机制，防范缓冲区溢出。
4.上传点限制：对上传的文件类型进行验证，上传目录不允许有执行权限。
5.不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接；限制表单或查询字段段输入的长度。
6.管理后台限制：对管理后台登陆进行IP限制；用户名和密码必须满足强度要求。
7.对cookie、用户密码文件等敏感数据进行加密处理。
8.使用统一的自定义错误信息替换原始错误信息。

案例
案例一.新浪微博XSS攻击事件

案例二.91如意彩事件

案例三.91黄历事件