java日常常见的几种安全问题

背景：

日常工作中，我们总是需要关注项目的安全问题，本文就来简单介绍下日常中经常遇到的几种安全问题以及解决措施

常见安全问题

1.sql注入
导致sql注入的原因大部分是因为sql拼接导致的，比如通过用户id查询用户的记录，正常的sql如下：

select * from user where user_id = 1234

被sql注入后的sql如下：

select * from user where user_id=1234 or 1=1

这样所有的用户信息就都泄漏了，使用PrepareStatement的方式，结合#{}占位符就可以有效避免sql注入

2.没有限制上传文件格式
当我们有需要用户上传文件的操作时，为了防止用户上传木马等程序，我们需要在代码中限定上传的文件格式，比如必须是图片格式，这样需要代码中限制文件后缀必须.jpg或者.png结尾

3.下载用户指定的文件
当我们不加限制的使用用户给定的路径获取文件内容，然后把文件内容传输给用户时，我们就已经把自己的系统给暴露了，因为用户可以指定类似于…/…的形式获取任何一个层级下的文件内容，比如…/…/etc/passwd文件内容，这是一个巨大的安全隐患，所以我们需要限制用户的下载路径不能包含…等特殊的分隔符

4.用户越权访问
假设系统通过接口提供通过订单id获取订单记录的功能，对于每个入参的订单id，都应该判断这个订单所属的用户是这个订单的所有者才能返回订单详情，否则就会被别有用心的人获取大量订单的信息

总结：

总之，安全无小事，本文就简单记录下日常工作中常遇到的几种安全问题，希望对后来人有帮助.