编码安全规范 V1.0 拟 制: 安全中心 关键字: 安全, 编码规范 内容范畴: 信息安全 文 档 类 别 : 开发技术文档 保密级别: 保密 文件名: 编码安全规范.d o c 范围: 全体员工 版本: 1.0 文档历史 日期 作者 版本号 备注 wolfliu V0.1 applelin V0.2 2007-02-19 Tony, Coolcyang V0.3 分割了一下原来的V0.2 的文档,抽出一个单列的格式,以便后续修改。 2007-2-28 applelin V0.4 根据新的格式整理并补充 2007-3-8 stevezheng V0.5 2007-3-12 Dum applelin V0.6 补充示例 第一篇 防止堆栈溢出类漏洞 ............................................................................................................... 4 1.1 对任何用户输入数据必须首先校验其长度,避免由于长度越界引起的缓冲区溢出。 ........... 4 1.2C++和MFC 程序字符串处理,选择现有的处理类库,禁止自己编写类库。 ....................... 4 1.3 编码中禁止使用危险函数。 ........................................................................................................... 4 1.4Unicode 和ANSI 缓冲区大小不匹配问题,必须注意大小计算的单位。 .................................. 5 1.5 不将用户输入串拼接到任何格式字符串内。避免字符格式化漏洞。 ....................................... 6 1.6 多个字符串存储在一个数据区时,尽量不依靠分隔符区分边界。用户数据需要转义后传输,存储。 .................................................................................................................................................... 7 1.7 C\C++中数组大小应该是sizeof(pArray)/sizof(pArray[0]) ............................................................ 7 1.8 其他可能出现缓冲区溢出的函数 ................................................................................................... 7 第二篇 防止SQL 恶意构造性漏洞 ..................................................................................................... 8 2.1 防止SQL 恶意构造漏洞。 不直接使用外部输入的数字、字符串拼接SQL 语句。 ........... 8 2.2 web 编程对于用户的任何输入必须做关键字过滤 ................
