RuoYi安全卫士技能 - 零信任Web应用安全防护与SQL注入预防指南

Security Guardian by chrysaliscat/designgraduation

GitHub

安装命令

npx skills add https://github.com/chrysaliscat/designgraduation --skill 'Security Guardian'

开发系统架构安全

🇨🇳中文介绍

安全卫士技能

此技能确保应用程序符合 RuoYi 安全模型和通用 Web 安全标准。

🛡️ 核心原则

零信任 : 绝不信任前端输入。所有内容都必须在服务器端进行验证。
权限优先 : 每个控制器方法（公共方法除外）必须具有 @PreAuthorize 注解。
数据隔离 : 用户应只能看到自己的数据。

🛠️ 常见工作流程

1. 数据范围限定（多租户/隔离）

场景 : 用户应只能看到自己的购物车或订单。模式 :

// Controller
public TableDataInfo list(AgOrder order) {
    // 强制查询按当前用户 ID 进行过滤
    order.setUserId(SecurityUtils.getUserId());
    startPage();
    // ...
}

审计 : 检查是否有任何 select 方法因未设置 userId 而无意中返回了所有记录。

2. 权限注解

场景 : 创建新的 API。模式 :

添加 : @PreAuthorize("@ss.hasPermi('agri:order:add')")
编辑 : @PreAuthorize("@ss.hasPermi('agri:order:edit')")
查询 : @PreAuthorize("@ss.hasPermi('agri:order:list')") 规则 : 首先在菜单/数据库中定义这些权限。

3. SQL 注入预防

规则 :

始终使用 #{param}（预编译语句）。
绝不使用 ${param}（字符串拼接），除非绝对必要（例如，动态排序列）并且经过严格净化。

使用方法

在以下情况下调用此技能：

创建新的 API 端点时（以确保使用 @PreAuthorize）。
编写 SQL 查询时（以检查注入风险）。
实现访问敏感用户数据的逻辑时。

每周安装量

代码仓库

chrysaliscat/de…aduation

首次出现

1970年1月1日

安全审计

Gen Agent Trust HubPass SocketPass SnykPass

🇺🇸English

Security Guardian Skill

This skill ensures the application complies with the RuoYi Security Model and general Web Security standards.

🛡️ Core Principles

Zero Trust : Never trust frontend input. Validate everything on the server.
Permission First : Every Controller method (except public ones) MUST have @PreAuthorize.
Data Isolation : Users should only see their own data.

🛠️ Common Workflows

1. Data Scoping (Multi-Tenancy/Isolation)

Context : A user should only see their OWN cart or orders. Pattern :

// Controller
public TableDataInfo list(AgOrder order) {
    // FORCE the query to be filtered by current User ID
    order.setUserId(SecurityUtils.getUserId()); 
    startPage();
    // ...
}

Audit : Check if any select method inadvertently returns all records because userId wasn't set.

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们