web后端python安全-总结

Python的import关键字--不⽤⾃⼰从零写功能，直接⽤别⼈封装好的成熟代码。
写爬⾍不⽤⾃⼰写⽹络请求代码，导⼊requests库就能直接⽤

Python爬⾍编写（爬⽹络数字的工具）

Python Web 后端80% 的漏洞来自注入、越权、明文密码、配置泄露

优先修复SQL 注入、越权访问、密码明文三个最高危漏洞

使用框架自带安全机制（Django/Flask 安全能力很强）

不要信任任何用户输入、请求、文件

开启 HTTPS + 安全响应头

依赖包定期扫描漏洞

使用 环境变量

核心原则

永远不信任用户输入，所有外部数据必须校验、过滤、转义

防注入、防越权、加密存密码、校验所有输入、隐藏敏感信息、开启 HTTPS