代码检测注意点

• 梭哈式的拷贝代码
  问题：看到很多代码都没有使用到，但是拷贝工程的时候把所以的都拷贝了，然后稍微修改下，不管有用没有。 这样子的代码冗余太多，后期可读性差。

反例：还有很多，就不一一列举了。

image.png
image.png

• mybatis 能用#就别用$

image.png

建议能用#就别用$ #会比较大程度的防止sql注入

• System.out.println 打印日志
  以后程序里面不要用System.out.println 这种来打印信息，如果都用这个来打印会照成性能低下，程序阻塞。

  
  image.png

• 工具类什么的正常就不要写main()方法，建议写测试类

  
  image.png

• mybatis mapper.xml不建议写超长sql

  1. 可读性差
  2. 还包含复杂运算，严重影响性能。
     可以采用Java来做运算处理，不是很建议占用数据库资源。

• 密钥管理：硬编码加密密钥问题
  危害： 密钥硬编码在代码中导致的直接结果就是代码在哪里，密钥就在哪里。研发人员电脑上存在密钥，如果电脑被攻击则密钥也会被泄漏。其次研发人员会因为没有安全意识，将代码上传至各类私有云盘或家里电脑又或是U盘中，导致风险面增大。更有甚者，将代码上传至GitHub，而忽略了代码中的硬编码密钥，从而被恶意着利用

案例：比如这次代码检验，我们就把对应密钥信息给暴露给检测商了。厂商可以直接使用该密钥。
解决方案：核心点在于密钥需要和代码分离，尽可能少的让密钥被人接触到

1. 环境变量/配置文件
2. 通过配置管理中心来管理配置

image.png

• 弱加密问题
  问题： 使用 DES 算法生成的密钥短，仅有56位，运算速度较慢，而且DES算法完全依赖密钥，易受穷举搜索法攻击
  解决办法： AES算法替代DES算法，AES最少可生成128位，最高256位的密钥，且运算速度快，占用内存低。