JAVA 安全编程规范

1. 避免 SQL 注入
   在编写和 SQL 操作的问题时，使用 PreparedStatement 预编译 SQL 语句
2. 避免 XML 注入
   对 String 进行拼接 XML 语句时，需要对数据进行合法验证后才可以拼接，避免出现 XML 注入
3. XSS 注入
   对一些特殊的 JS 函数进行过滤，
4. 在编程时，不要忽略方法返回的值
5. 不要引用空指针
6. 在对数字进行处理时使用 BigInteger 避免出现大数溢出
7. 对计算的数字进行严格验证并做好处理，防止出现报错
8. 对数据成员声明私有，保护其安全
9. 统一编码，避免出现编码不一致导致的问题
10. 不要使用过时的一些方法，要与时俱进
11. 对代码运行中产生的异常进行捕获，不要忽略，并且对异常的输出进行限制并统一输出
12. 程序执行完毕后需要删除临时文件，并及时释放内存资源
13. 在序列化过程中避免内存和资源泄露
14. 保证最小权限原则
    PHP 安全编程规范
15. 输入和输出
    对函数执行的输入和输出进行审查，避免出现恶意输入
16. XSS
    对一些 JS 函数进行审查，并进行过滤，避免提交
17. SQL 注入
    使用预编译 SQL 语句执行和 SQL 相关的操作，避免出现 SQL 注入
18. 安全配置
    在 PHP 中存在一系列配置，我们需要对其进行修改并关闭一些特殊的配置
19. 危险函数
    在使用威胁函数执行功能时，并且该危险函数的输入可以被用户操控时，必须对输入进行审查，避免出翔 RCE
20. 弱类型
    在对数据进行比较时，一定要使用严格比较，在 PHP 中存在弱类型，如果比较的内容是由用户输入的，那么用户可以通过修改输入的参数，并利用弱类型绕过
21. PHP 伪协议
    禁用 PHP 伪协议，避免出现恶意用户利用 PHP 伪协议进行恶意操作，读取文件或执行代码
22. 统一编码
    对网站的全部编码统一，避免出现编码不统一导致的漏洞

Python 安全编程规范

1. 输入验证
   对用户的输入进行验证，避免 XSS 或者 SQL 注入等等漏洞，同时也可以避免函数执行报错
2. 输出编码：
   对网站的编码进行统一的规范，以避免出现因为编码不同导致的漏洞
3. 异常处理：
   不要在异常信息中输出一些敏感内容以及不要将异常信息返回到用户
4. 身份验证
   对用户的身份进行严格的验证，避免出现用户绕过登录
5. 会话安全
   用户退出后及时清理会话避免出现再次利用的情况
6. 日志规范
   不要在日志中保留敏感信息
   禁止访问日志
7. SQL 注入
   使用预编译 SQL 语句执行和 SQL 操作
8. 威胁函数调用
   在执行威胁函数时，如果用户可以操控输入需要对其进行严格限制和过滤
9. 配置文件
   关闭第三方应用程序的配置问题