1.2.9.1.1. 《阿里巴巴Java开发手册》

官网

阿里代码规范检测工具

1.2.9.1.1.1. 阿里代码开发规范

四、安全规约

1. 【强制】用户请求传入的任何参数必须做有效性验证。 说明:忽略参数校验可能导致: ⚫ page size 过大导致内存溢出 ⚫ 恶意 order by 导致数据库慢查询 ⚫ 任意重定向 ⚫ SQL 注入 ⚫ 反序列化注入 ⚫ 正则输入源串拒绝服务 ReDoS 说明:Java 代码用正则来验证客户端的输入，有些正则写法验证普通用户输入没有问题，但是如果攻 击人员使用的是特殊构造的字符串来验证，有可能导致死循环的结果。

2. 【强制】表单、AJAX提交必须执行CSRF安全验证。 说明:CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用 /网站，攻击者可以事先构造好 URL，只要受害者用户一访问，后台便在用户不知情的情况下对数据库中 用户参数进行相应修改。

五、MySQL 数据库 (二) 索引规约---------再看一遍