2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取(通过预编译把sql注入掐死在摇篮中,java中mybatis主动防御了sql注入,通过#{param},如果使用${param}将有sql注入风险)。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。

本文作者：周金星（点融黑帮），现于LB部门从事后端开发，一个喜欢钓鱼、下棋的程序员。平时对安全、自动化、性能都所有关注。返回搜狐，查看更多