系统采用https协议保障数据传输安全
操作人员登录需要输入用户名、密码及验证码(图片验证码)验证身份
操作人员密码采用RSA非对称加密算法加密,前端页面用公钥加密,服务端使用私钥解密
系统设计操作日志表,详细记录用户对系统中数据的增删改操作,重点记录操作时间、操作人、修改前数据、修改后数据,并在系统中设计日志查看界面提供查阅功能
网络安全方面,
1、用户session定期失效
2、防止SQL注入,主要采用表单过滤,验证表单提交的合法性,特殊字符转义处理,数据库权限最小化,查询语句使用数据库提供的参数化查询接口,不直接拼接SQL等方式。