密码存储为什么不能明文

密码为什么不能明文存储，这是一个基础但容易被忽视的问题。本文讲正确的做法。

安全问题要默认不信任输入

无论是表单、URL 参数、Header，还是内部系统传来的字段，都不能天然相信。后端必须做校验、鉴权和日志审计。

危险写法：

String sql = "select * from user where name = '" + name + "'";

推荐使用预编译参数：

SELECT * FROM user WHERE name = ?;

在 MyBatis 中优先使用 #{name}，不要用 ${name} 拼接用户输入。

登录只说明“你是谁”，权限校验才说明“你能做什么”。敏感操作必须在服务端校验资源归属。

转载规则

《密码存储为什么不能明文》由小乐采用知识共享署名 4.0 国际许可协议进行许可。

详解MySQL事务ACID与隔离级别的核心概念与实践方法，结合真实开发场景说明使用注意事项。

2024-07-19 MySQL

MySQL 数据库

详解MySQL慢查询分析与优化的核心概念与实践方法，结合真实开发场景说明使用注意事项。

2024-07-18 MySQL

MySQL 数据库