代码安全加固处理规范

总原则：不要相信用户输入的任何东西

1.统一在顶层控制器统一部署防XSS攻击与SQL注入的代码

2.在业务逻辑层针对具体的参数进行强类型的转换处理和单独XSS过滤处理（参考WIKI）

 一般情况都是使用intval,对于有可选范围的变量一定将其控制在可选范围之内，同时注意要参考具体的控制逻辑使用强类型转换，不能盲目转换（本来是字符串但进行数字类型转换）

3.改变目前分页代码的写法（禁止使用REQUEST_URI的方式），在控制器中组合翻页地址和过滤之后的参数列表

4.采用业界流行的安全监测工具进行发布前后的安全检查提前发现问题

5.针对7月份之后开发的新功能代码如有被安全软件发现并提示存在参数未经严格校验检查（包括上述禁止的翻页代码处理方式）的（其他情况再议），需要参照内部规范条例处理

 针对历史的旧代码，需要有意识的进行代码安全加固处理，通过安全监测将对应的问题页面发出及时整改