工作中关于项目安全问题的处理

1. 接口增加签名验证，通常的做法是通过param排序+时间戳+secret签名验证，防止离职的开发人员进行接口攻击
2. mysql开启 safe-updates ， 当做DML操作忘记加where条件时，mysqld服务器是不会执行操作的，防止批量误操作
3. 小程序或者app端登录增加token过期操作，也是防止非法人员知道token后进行非法操作。
4. 服务器禁止root用户登录，给每个人开发人员分配一个用户，可以给他们root的密码进行sudo。
5. mysql的密码也一样，分别给每个开发人员不同的权限开发单独的库，一旦员工离职 直接注销即可。
6. 代码要单独放在一台服务器上，经历过上个公司没有代码管理的模式，最后公司只有后悔，毕竟每个离职人员都不一定是顺心的，启用的git版本控制，就可以大概率缩小公司代码出意外的概率。 而且不要与测试或者正式环境放在同一服务器上。
7. 要做好警报功能检测生产环境，尤其是半夜的时候很可能出现无法预知的错误导致服务器宕机， 定时去进行接口请求，检测数据库连接。当然了 如果公司有钱请个运维的话另当别论
8. 如果代码模块过多，一定要考虑架构，降低耦合度，不然业务复杂的时候，一个地方出问题，一环套一环 最后全挂掉了。或者说，这个模块需要修改个东西 却影响了另外的地方，这种都是后期最可怕的事情。
9. 如果公司足够有时间，并且业务很重要，建议写单元测试。