## 安全入門 2.1 閱讀《OWASP開發指南》，它提供了全面的網站安全指導。 2.2 了解SQL注入（SQL injection）及其預防方法。 2.3 永遠不要信任用戶提交的數據（cookie也是用戶端提交的！）。 2.4 不要明文（plain-text）儲存用戶的密碼，要hash處理后再儲存。 2.5 不要對你的用戶認證系統太自信，它可能很容易就被攻破，而你事先根本沒意識到存在相關漏洞。 2.6 了解如何處理信用卡。 2.7 在登錄頁面及其他處理敏感信息的頁面，使用SSL/HTTPS。 2.8 知道如何對付session劫持（session hijacking）。 2.9 避免"跨站點執行"（cross site scripting，XSS）。 2.10 避免"跨域偽造請求"（cross site request forgeries，XSRF）。 2.11 及時打上補丁，讓你的系統始終跟上最新版本。 2.12 確認你的數據庫連接信息的安全性。 2.13 跟蹤攻擊技術的最新發展，以及你使用的平臺的最新安全漏洞。 2.14 閱讀Google的《瀏覽器安全手冊》（Browser Security Handbook）。 2.15 閱讀《網絡軟件的黑客手冊》（The Web Application Hackers Handbook）。 ## 參考資料 * [阮一峰的博客，安全部分](http://www.ruanyifeng.com/blog/2010/11/61_things_every_web_developer_should_know)