古法编程

如何利用 AI 编写高安全性的后端代码

通过为 AI 注入后端安全专家知识库,将其转化为一名精通防御性编程的开发者,在编写 API、数据库交互和认证系统时自动规避常见安全漏洞。

为什么需要这个技能

在快速迭代的开发周期中,开发者容易忽略细微的安全漏洞,如 SQL 注入、跨站请求伪造(CSRF)或敏感信息泄露。传统的安全审计通常发生在代码提交之后,而本技能旨在将安全意识“左移”,在代码编写阶段就实现防御。

与高层级的安全审计(Security Auditor)不同,本技能专注于实际的代码实现。它不仅能告诉你哪里有风险,更能直接为你写出符合安全规范的实现方案,将 OWASP Top 10 等安全标准转化为可运行的代码。

适用场景

  • 构建认证系统:实现基于 JWT 的身份验证、多因素认证(MFA)及刷新令牌轮转机制。
  • API 安全加固:设计具有速率限制(Rate Limiting)、严格 CORS 策略和输入校验的 API 端点。
  • 数据库防护:编写参数化查询,防止 SQL/NoSQL 注入,并配置字段级加密。
  • 防御 Web 攻击:配置 CSP(内容安全策略)、HSTS 等安全响应头,实现防 CSRF 令牌机制。
  • 安全代码评审:在提交 Merge Request 前,让 AI 检查代码中是否存在路径遍历或 SSRF(服务端请求伪造)风险。

核心工作流

  1. 需求与威胁评估:明确功能目标,AI 将首先分析潜在的攻击向量(如:该接口是否暴露在公网?处理的数据是否敏感?)。
  2. 实施防御性编码
    • 输入端:采用白名单机制进行严格的类型验证和过滤。
    • 处理端:使用参数化查询,确保秘密信息(Secrets)通过环境变量或 Vault 管理。
    • 输出端:根据上下文进行输出编码,防止 XSS 攻击。
  3. 安全配置增强:部署安全响应头,配置 HttpOnly/Secure Cookie 属性。
  4. 验证与审计:AI 提供可验证的测试步骤,确保安全控制措施切实生效且未破坏业务功能。

下载和安装

下载 backend-security-coder 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹,重启工具后即可使用。具体路径参考内附的 USAGE.zh.md

你可能还需要

暂无推荐