必威体育精装版版安全编码规范.docxVIP

.word. .word.资料. 安全编码规 版本罟：V1.0 倏订頁 编 号 右称 修订彖荷述 修订 Q期 修订焉 版本号 修订后 版本号 修订 人 枇准人 目的 错篌！来龙义韦签。 背景 错帳！未丈义韦签。 TOC \o 1-5 \h \z 安全偏码规 3 3」 输入睑证和数据合床性校验 3 *1」 避免SQL注入 3 3」?2 避免XML注入 3 3.13 避免昧北6脚本(XSS) 3 ＞期和初岳化 3 避免类初始化的相互依報 3 33 農达式 3 不可忽咯方法的返凹值 3 不要引用空指针 3 使用 Arrays.equals () 来比较数组的家 3 数字奏型和樣作 3 疗止整数溢出 3 濺免除比和取核运算分母为零 3 类和方法操作 3 敛据成员步朗为私有,提供可访问的包裝方出 3 牧威奏不允许复制 3 比较类的正确做比 3 不要硬编码数感传克 3 验证方比参数 3 不要使用过时.旧或低敗的方法 3 散组引用问題 3 不要产生存址空 3 异常丈理 3 不要忽略赭莪的异常 3 不允许晟黑异常的牧感传曳 3 不允许処出 RuntimeException, Exception.Throwable 3 不要嫌获NullPointerException戎其他父类并常 3 多线程偏程 3 确保共享变量的可見性 3 确保共享变量的操作是虑孑的 3 不要调用Thread.run (),不要使用Thread.stop ()以终止线程 3 确锋执行酿瘪操作的筑從可以终止 3 相互依存的任务不要在一个有限的筑程池轨行 3 输入输出 3 程序终止首刪除格对丈件 3 检測和丈理文件相关的错谖 3 3.8.3 及射粹放法港 3 3.9 序刃化 3 不要序刃化未加密的数磁散握 3 疫序刃化过程中遅免存和竇源泄満 3 及序刃化要疫程序聂小权限的安全环境中 3 输入絵证和救据合廉性牧絵 程序接受数据可能来源于未絞睑证的用户，冋络连接和其他不受传任的来源，如果未对 稅序接受散据遗行校睑，则可能会引发安全问题。 L1J 逹免SQL di入 使用PreparedStatement预偏译SQL?鮮決SQL注入问題，传迈给PreparedStatement对 象的洪数可以彼强制进行类型转换，确保在插入戎杏询数据时与底屋的数堤岸格丸乞紀。 String sqIString = select * from db_user where username=? and password = ?r,; PreparedStatement stmt = connection.prepareStatement(sqlString)： stmt.setString(L username); stmt.setString(2, pwd); ResultSet rs = stmt.executeQueryO； 建免 XML di入 通过StringBulider或StringBuffer擀接XML丈件对.?需对給入数据遗行合出性校验。 对数量quantity进行合出性枝验，按制只能传入0?9的数字： if ({Pattern.matchesf[0-9]+,\ quantity)) { // Format violatio n } String xmlString = nitem\ndescriptionWidget/descriptio n\rT + n price 500 /price \nM + nqua ntity” + quantity + v/qua ntity v/item”； outStream.write(xmlString.getBytesO)： outStream.flushO： 建免*北点冲本CXSSJ 对产生跖丸的参数进行严格过追，井止传入vSCRIPT标签 〃灾义常过遠的字段串vscript String s =、uFE64” + Script + ,\uFE65H; //过遮字符串标:隹化 s = Normalizer.normalize(s, Form.NFKC); //使用正则表达式皿配inputStr是否存在vscript〉 Pattern pattern = Ppile(inputStr): Matcher matcher = pattern.matcher(s); 讦(matcher.find()) { // Found black listed tag throw new IHegalStateException()： } else { 〃… } 宗明和初始化 1.2J 連免典初妗化钓相31很赖 例： 错谖的写出： public class Cycle { private final int balance: private stati