阿里巴巴编码规约学习之安全规约

一个成熟的系统都是要专门的鉴权机制的，比如微服务中的鉴权组件，或者单体应用中的拦截器也可以起到类似的作用，市面上的鉴权手段多样，这里主要是说明权限控制的重要性。
在设计的时候，就要考虑到如果有别有用心的用户，得到了其他用户的访问请求，加以修改，如果没有权限控制的话，是容易出大事的

手机号、身份证号等都需要脱敏，当然也和具体的业务场景有关

比如mybatis中不能使用$,使用#等参数化语句，普通用户不给予ddl语句的权限等，都是项目上常用的手段
防止sql注入的解析与手段

第一点没啥好说的，任何查询都得分页，如果pageSize过大那就相当于不分页了
第二点我觉得是sql设计时候就需要注意一下
第三点其实也是权限的问题，控制好url的权限，就不会出现随意重定向的情况了
第四点上面说过
第五点，使用反序列化本身并不会产生问题。当用户（攻击者）可以控制被反序列化的数据时就出现问题了。常见的就是通过反射和反序列化来破坏单例的设计初衷

CSRF攻击原理与几种防范方法
CSRF攻击与防御

限流的重要性