程序员的安全规则第一条:不要自己动手

除非您自己是安全专家和/或密码学家，否则请始终使用设计良好、经过良好测试且成熟的安全平台、框架或库来为您工作。专家和黑客等人花了数年时间思考、修补、更新和检查这些问题。你想要获得这些优势，而不是试图重新发明轮子而忽视它们。

现在，这并不是说您不需要学习任何关于安全性的知识。当然，您需要了解足够多的知识来理解您在做什么，并确保正确地使用这些工具。然而，如果你发现自己要开始编写自己的加密算法、认证系统、输入杀毒器等，停下来，后退一步，记住规则#1。

当你创建任何企业或任何自己的软件时，你应该像黑客一样思考。正如我们所知，黑客也不是所有事情的专家，但当他们发现任何漏洞时，他们开始通过收集所有事情的信息来挖掘它，最终攻击我们的软件。所以为了防止这种攻击，我们应该遵循一些众所周知的规则，比如:

总是尝试破译你的密码(使用小抄和谷歌之类的东西来获取更多信息)。 更新编程域中的安全漏洞。 如上所述，永远不要相信任何类型的用户或自动输入。 使用开源应用程序(它们的大多数安全缺陷已经被知道并解决了)。

你可在以下连结找到更多保安资源:

owasp安全 CERT安全 无安全 netcraft 太空安全 openwall PHP交会 Thehackernews(不断更新自己)

有关应用程序供应商安全流程的更多信息谷歌。

安全是一个过程，而不是一个产品。

许多人似乎忘记了这个显而易见的事实。

另外，请务必查看OWASP前10名列表，以了解所有主要攻击载体/漏洞的分类。

这些东西读起来很吸引人。学习像攻击者一样思考将训练您在编写自己的代码时思考什么。

程序员的安全规则第一条:不要自己动手

除非您自己是安全专家和/或密码学家，否则请始终使用设计良好、经过良好测试且成熟的安全平台、框架或库来为您工作。专家和黑客等人花了数年时间思考、修补、更新和检查这些问题。你想要获得这些优势，而不是试图重新发明轮子而忽视它们。

现在，这并不是说您不需要学习任何关于安全性的知识。当然，您需要了解足够多的知识来理解您在做什么，并确保正确地使用这些工具。然而，如果你发现自己要开始编写自己的加密算法、认证系统、输入杀毒器等，停下来，后退一步，记住规则#1。

Mozilla的Web安全团队制定了一个很好的指南，我们在网站和服务的开发中都遵循这个指南。