## 安全入门 2.1 阅读《OWASP开发指南》，它提供了全面的网站安全指导。 2.2 了解SQL注入（SQL injection）及其预防方法。 2.3 永远不要信任用户提交的数据（cookie也是用户端提交的！）。 2.4 不要明文（plain-text）储存用户的密码，要hash处理后再储存。 2.5 不要对你的用户认证系统太自信，它可能很容易就被攻破，而你事先根本没意识到存在相关漏洞。 2.6 了解如何处理信用卡。 2.7 在登录页面及其他处理敏感信息的页面，使用SSL/HTTPS。 2.8 知道如何对付session劫持（session hijacking）。 2.9 避免"跨站点执行"（cross site scripting，XSS）。 2.10 避免"跨域伪造请求"（cross site request forgeries，XSRF）。 2.11 及时打上补丁，让你的系统始终跟上最新版本。 2.12 确认你的数据库连接信息的安全性。 2.13 跟踪攻击技术的最新发展，以及你使用的平台的最新安全漏洞。 2.14 阅读Google的《浏览器安全手册》（Browser Security Handbook）。 2.15 阅读《网络软件的黑客手册》（The Web Application Hackers Handbook）。 ## 参考资料 * [阮一峰的博客，安全部分](http://www.ruanyifeng.com/blog/2010/11/61_things_every_web_developer_should_know)