Java开发手册30/44四、安全规约1.【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。说明：防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容、修改他人的订单。2.【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。说明：中国大陆个人手机号码显示为:137****0969，隐藏中间4位，防止隐私泄露。3.【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定，防止SQL注入，禁止字符串拼接SQL访问数据库。4.【强制】用户请求传入的任何参数必须做有效性验证。说明：忽略参数校验可能导致：⚫page size过大导致内存溢出⚫恶意order by导致数据库慢查询⚫任意重定向⚫SQL注入⚫反序列化注入⚫正则输入源串拒绝服务ReDoS说明：Java代码用正则来验证客户端的输入，有些正则写法验证普通用户输入没有问题，但是如果攻击人员使用的是特殊构造的字符串来验证，有可能导致死循环的结果。5.【强制】禁止向HTML页面输出未经安全过滤或未正确转义的用户数据。6.【强制】表单、AJAX提交必须执行CSRF安全验证。说明：CSRF(