安全编码变得实用

最佳实践：

敏感功能的审计日志
错误记录
将日志存储在集中的位置
在规定的时间内保留日志
定期审计 PII 日志

{
“依赖关系”：{
“foo”: “1.0.0-2.9999.9999”，
“bar”: “>=1.0.2 <2.1.2"
}
}

导入 mysql 连接器
db = mysql.connector.conn
#Bad 练习。避免这种情况！这只是为了学习。
（host= “localhost”，user= “新用户”，passwd= “pass”，db= “样本”）
cur = db.cursor ()
name = raw_input ('输入名称:')
cur.execute（“从 sample_data 中选择 * 其中 Name = '%s'；”% name）为 cur.fetchall () 中的行：打印（行）
db.close ()

许多框架还具有一组可以启用的端点，无论是在生产环境还是在测试/开发环境中，都可以监控应用程序。这些可能包括：

指标（普罗米修斯）
日志
环境信息
路径/网址映射

ts
让 url = request.params.url;

让响应 = http.get (url);
let render = response.render ();

返回 render.export ();

html
<form method="POST">
<input name="Id" type="hidden" value="666">
<input name="Name" type="text" value="Bad guy">
<input name="EmailAddress" type="text" value="hacker@attacker.com">
<input name="IsAdmin" type="hidden" value="true">
<input type="submit">
</form>

xml
<？xml 版本= “1.0”？>
<!DOCTYPE 外部元素 [
<!实体外部实体系统 “文件:///etc/passwd” >] >
<outerElement>&ExternalEntity;</outerElement>

伪
让 baseFolder = “/var/www/api/documents/”;
let 路径 = 基本文件夹 + request.params.filename;

返回文件.read（路径）；

cs

//确保默认行为是对请求进行身份验证，并检查它们是否是管理员
[身份验证]
[授权（“管理员”）]
公共类 SecureController：控制器
{

}

公共类 myController：安全控制器
{

//覆盖继承的 Authorize 属性以允许任何用户访问该页面

``html
<!---UNSAFE: The htmlSnippet will get interpreted without any escaping--->
@Html .Raw (HtmlSnippet)
```

Parmi les types d'injection les plus courants, citons :

Injection SQL
Cross-Site Scripting (injection HTML/Javascript)
Path Traversal (injection Path/Url)
Command Injection (injection de commande)
Code Injection (injection de code)

公共字符串 uploadProfilePicture（表单文件上传文件）
{
//生成保存上传文件的路径
变量路径 = $”。/uploads/avatars/ {request.user.ID}/{UploadedFile.file.fileName}”;

//保存文件
var localFile = file.openWrite（路径）；
localfile.Write (UploadedFile.readToEnd ());
localfile.flush ();
localfile.close ();

//更新头像
Userprofile.updateUserProfilePicture（请求用户，路径）

返回路径；
}

let ip = request.params.IPAddress;

系统（“ping” + ip）；