一般注意事项

一个完全安全的系统实际上是不可能的，因此安全行业常用的方法是平衡风险和可用性。如果用户提交的每个变量都需要两种形式的生物特征验证（例如视网膜扫描和指纹），您将拥有极高的问责制。填写公平还需要半个小时复杂的表单，这往往会鼓励用户找到绕过安检。

最好的安全措施通常是不引人注目的，足以满足没有阻止用户完成的需求或者让代码作者负担过重复杂性。事实上，一些安全攻击只是利用这种过度构建的安全性往往会随着时间的推移而削弱。

一句值得记住的话：一个系统只有在最弱的时候才是好的链子中的链环。如果所有事务都基于时间、地点、交易类型等，但用户仅基于单个cookie验证绑定用户的有效性事务日志被严重削弱。

测试时，请记住，您将无法测试所有即使是最简单的页面也有可能。您的输入可能期望与一个心怀不满的员工，一个有着数月时间的捣蛋鬼或者一只家猫在键盘上走。这就是为什么最好从逻辑的角度来看代码，以辨别可以引入意外数据的位置，然后跟踪它的情况修改、减少或放大。

互联网上到处都是试图为其声名鹊起的人破坏代码、破坏网站、发布不合适的内容，否则会让你的一天变得有趣。不管你的网站是大是小，你都是通过简单地在线，通过拥有一个可以连接到。许多破解程序不按大小区分只需拖网大规模的IP区块寻找受害者。尽量不要这样成为一体。