二、安全性(Security)

　　2.1

　　阅读《OWASP开发指南》，它提供了全面的网站安全指导。

　　2.2

　　了解SQL注入(SQL injection)及其预防方法。

　　2.3

　　永远不要信任用户提交的数据(cookie也是用户端提交的!)。

　　2.4

　　不要明文(plain-text)储存用户的密码，要hash处理后再储存。

　　2.5

　　不要对你的用户认证系统太自信，它可能很容易就被攻破，而你事先根本没意识到存在相关漏洞。

　　2.6

　　了解如何处理信用卡。

　　2.7

　　在登录页面及其他处理敏感信息的页面，使用SSL/HTTPS。

　　2.8

　　知道如何对付session劫持(session hijacking)。

　　2.9

　　避免"跨站点执行"(cross site scripting，XSS)。

　　2.9

　　避免"跨域伪造请求"(cross site request forgeries，XSRF)。

　　2.10

　　及时打上补丁，让你的系统始终跟上最新版本。

　　2.11

　　确认你的数据库连接信息的安全性。

　　2.12

　　跟踪攻击技术的最新发展，以及你使用的平台的最新安全漏洞。

　　2.13

　　阅读Google的《浏览器安全手册》(Browser Security Handbook)。

　　2.14

　　阅读《网络软件的黑客手册》(The Web Application Hackers Handbook)。