🔒 数据验证与过滤
- 始终对用户输入进行校验,防止注入攻击(如SQL注入、XSS)
- 使用白名单机制过滤特殊字符,例如:
<→< - 示例:
if not re.match(r'^[a-zA-Z0-9_]+$', user_input): raise ValueError("Invalid input")
🔐 加密与安全传输
- 敏感数据需使用HTTPS传输,避免中间人攻击
- 加密存储:密码使用bcrypt或Argon2算法,而非明文
- 示例代码片段:
const bcrypt = require('bcrypt'); const saltRounds = 10; bcrypt.hash(userPassword, saltRounds, (err, hash) => { ... });
🔗 了解更多加密技术 → /docs/encryption_guide
🛡️ 权限控制与最小权限原则
- 实施基于角色的访问控制(RBAC),避免权限过度
- 对文件操作、数据库查询等敏感行为进行日志记录与审计
- 示例:
if user.Role != "admin" { return http.StatusForbidden }
📌 安全编码资源推荐