T31-DAY22（单元测试与系统安全规约）

认识单元测试

单元测试是对软件组成单元进行的测试。其目的是检验软件基本组成单位的正确性。
测试对象是软件设计的最小单元：模块，又称为模块测试。

单元测试的AIR原则

单元测试的BCDE原则

功能性测试之边界值测试

常用单元测试框架简介

系统安全规约实践

权限控制之越权访问漏洞
越权访问（Broken AccessControl，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。
越权访问漏洞防范措施

水平越权访问漏洞

水平越权访问漏洞防御

敏感数据处理规约

敏感数据处理

敏感数据处理之特殊信息脱敏
根据百度词条的解释，数据脱敏是“指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。

SQL注入攻击防御
所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因.

Mybatis框架SQL注入漏洞场景

XSS跨站点脚本攻击及其防御之术
XSS跨站脚本攻击(Cross Site Scripting, XSS)发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为

措施：
• 输入过滤：单引号、双引号、<、>等
• 编码转换：HTML实体编码、JavaScript编码
• Cookie安全策略：HttpOnly