编码安全规范

编码安全规范 V1.0 拟 制： 安全中心 关键字： 安全, 编码规范 内容范畴： 信息安全 文 档 类 别 ： 开发技术文档 保密级别： 保密 文件名： 编码安全规范.d o c 范围： 全体员工 版本： 1.0 文档历史 日期 作者 版本号 备注 wolfliu V0.1 applelin V0.2 2007-02-19 Tony, Coolcyang V0.3 分割了一下原来的V0.2 的文档，抽出一个单列的格式，以便后续修改。 2007-2-28 applelin V0.4 根据新的格式整理并补充 2007-3-8 stevezheng V0.5 2007-3-12 Dum applelin V0.6 补充示例 第一篇 防止堆栈溢出类漏洞 ............................................................................................................... 4 1.1 对任何用户输入数据必须首先校验其长度，避免由于长度越界引起的缓冲区溢出。 ........... 4 1.2C＋＋和MFC 程序字符串处理，选择现有的处理类库，禁止自己编写类库。 ....................... 4 1.3 编码中禁止使用危险函数。 ........................................................................................................... 4 1.4Unicode 和ANSI 缓冲区大小不匹配问题，必须注意大小计算的单位。 .................................. 5 1.5 不将用户输入串拼接到任何格式字符串内。避免字符格式化漏洞。 ....................................... 6 1.6 多个字符串存储在一个数据区时，尽量不依靠分隔符区分边界。用户数据需要转义后传输，存储。 .................................................................................................................................................... 7 1.7 C\C++中数组大小应该是sizeof(pArray)/sizof(pArray[0]) ............................................................ 7 1.8 其他可能出现缓冲区溢出的函数 ................................................................................................... 7 第二篇 防止SQL 恶意构造性漏洞 ..................................................................................................... 8 2.1 防止SQL 恶意构造漏洞。 不直接使用外部输入的数字、字符串拼接SQL 语句。 ........... 8 2.2 web 编程对于用户的任何输入必须做关键字过滤 ................