程序的安全性包括哪些方面？是什么原因让我们不去考虑程序的安全性，程序又运行的相对安全？？？

如题，欢迎大家讨论。

评论

7 楼 fjlyxx 2009-04-02  

还是因为客户没重视吧,客户重视了你就逃不了了

6 楼 defrag_sly 2009-03-23  

但是如果想要提高安全性这方面，该怎么做呢？

5 楼 defrag_sly 2009-03-23  

mazzystar 写道

是因为我们的数据不敏感，没人黑我们

同意。

4 楼 mazzystar 2009-03-20  

是因为我们的数据不敏感，没人黑我们

3 楼 defrag_sly 2009-03-20  

权限控制,不错，一个好的权限管理，的确可以提高应用的安全性。
想必权限控制肯定也不是唯一的办法。希望大家有更深入的讨论。
比如在，架构层次，语言层次，设计模式，硬件环境，企业应用，门户网站。
请大家不要吝啬哦。

2 楼 metadmin 2009-03-20  

如果一个系统，权限控制的非常好，让用户没有缝隙可钻。比如（SQL注入、url带有参数绕过界面菜单控制）。  如果做到这样，那么我认为这个系统是安全的。

引出如下问题：
1，能否将权限从业务中剥离出来，因为程序中充满if / else 判断不好看，也增加出现不安全要素可能性；
2，怎样让权限管理变的简单，不仅实施起来非常容易，而且需求发生变动的时候，也要能快速挑战过来。

有兴趣可以浏览我SINA BLOG： http://blog.sina.com.cn/metadmin 。



------------
实现细粒度权限管理
www.metadmin.com

1 楼 metadmin 2009-03-20  

我就说权限管理吧，因为我是专门权限管理的，我在这个领域搞了4年。

权限管理范畴：
1，功能级权限，可以让最终用户设置。（用户－－角色－－权限模型）
2，细粒度权限，根据用户需求，软件开发者开发在系统里面的。比如总公司HR用户登录看到全部员工信息，分公司HR用户登录查看到本分公司及下属营业部员工信息。
（细粒度权限，大多系统都是写死的，也就是硬编码。当需求变化的时候，又要改代码。不排除有些企业开发出系统，可以改改参数表之类，可以解决问题的）


权限应用场景最好应该是怎样的：
1，业务方法，比如向数据插入、删除、修改数据，不要考虑权限，就是简单的SQL语句；
2，在控制层需要权限的地方，执行权限判断。
例子：

public class ControlServlet extends HttpServlet {
   ....
   // 权限判断
   if( condtion1 && condition 2 ) {
         // 满足条件1和条件2，插入      
simpleBusinessMethod.insert( entity );
   } else if( condition3 ) {
      //满足条件3，插入
      simpleBusinessMethod.insert( entity );
   }
   ....
}