1.所有输入都要过滤
1)会被执行的sql要过滤
2)会被回显的要过滤
2.所有关键数据提交都要做Token
3.所有关键kookie都要做httponly
4.所有关键数据都不应该是明文(特别是数据库的主键)
5.加密记得加salt,salt表和密码分离
6.业务逻辑验证要合理(时序图)