单元测试的AIR原则
【强制】宏观上,单元测试整体必须遵守AIR原则
A:自动化(automatic)
I:独立性(independent)
R:可重复性(replaceable)
单元测试的BCDE原则
(微观上,编写代码时遵守的原则)
B:border 边界值测试
C:correct 正确的输入,并得到预期的结果
D:design 与设计文档相结合
E:error 证明程序有错
功能性测试之边界值测试
1、边界点定义
?
2、边界值分析
?
SQL注入攻击防御
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因
SQL注入常用防御手段:
过滤危险字符
使用预编译语句: JDBC PrepareStatement
参数化查询: Hibernate、 Mybatis
Mybatis框架SQL注入漏洞场景:
使用$直接拼接
模糊查询like后的参数
in之后的参数
order by之后
XSS跨站点脚本攻击及其防御之术
XSS跨站脚本攻击(Cross Site Scripting, XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为
防御手段:
输入过滤:单引号、双引号、<、>等
编码转换: HTML实体编码、JavaScript 编码
Cookie安全策略: HttpOnly