做一个有责任心的程序员
我是从做友财网开始我第一次做放到网外上的程序的,算是个菜鸟了。不过,从做这个网站中,我发现应该有不少的程序员会犯和我一样的错误,对安全性的乎略。
我也不说什么大的概念了,举一个最简单的例子,一般来说B/S的程序,删除操作都会给后台传一个ID值。很多程序员,会把直接把这个ID对应数据库中的数据删除了,这可能是程序员偷了一个小懒,没有判断当前删除数据的这个人是否有权限删除。可是对于放在外网上的程序来说,这相当给别人在公网上留了一个很大的后门!可能很多人说我说的这个问题大家都知道,可是真正能做到细心判断业务逻辑后再删除的有多少人呢?我去年在北京一家公司上班,这公司主要是做博客和社区的(具体当然不会告诉你们了,嘿嘿),这个公司做的东西,最起码在我上班的那会,我说的这些后门还是留着的!知道了xxx.do之后,传一个ID就可以看一条数据,传一个ID就可以修改一条数据,甚至是删除!
其实我说这些简单的问题,大家都心里知道,但可能项目进度紧,工作压力大,没有时间去做这块内容,想的以后有时间了再去做。可是真的有时间了,再回过头把这些逻辑再补上的又有多少人呢?当然Web应用程序的安全,不光我说的这么简单这一点,但想给大家说明,至少别把这么大的后门留给所有的网民吧,尤其是像我做的在线记帐的网站的,保护好每个人的隐私,更是我的责任,但国内在线记帐的网站也很多,我试了国内几家做的比较大的,刚说的问题有几家就是没有把最基本的安全性做到!也不知道是程序员水平太低还是责任心太差。。。
这篇文章不是告诉大家怎么去删除别人网站的数据,是想告诉程序员把最基本的安全性做好,给使用者一个比较安全空间,放心的用软件,我也是我做友财网的原则。不过,有时把安全性做的太好,也会给用户代来不必要的麻烦。。。这个平衡点也要掌握好。。
友财网是在线记帐的网站,安全性和保密性也是首先和着重考虑的因素,让我们做一个有责任的程序员!把别人的数据和隐私保护好!
