账号安全问题：是否有管理员账号、项目组是否有线上账号

不可不经运维流程更新线上代码和数据。

更新代码、更新包，必须走版本管理，并由测试负责提交运维人员。

数据泄露风险。

测试环境数据库定时备份机制等。

软件安全问题：

1) 密码的复杂度要求。大于等于8位。修改密码时同样要求。

2) 登录时密码不能明文传输

3) 密码需要加密后存储到数据库，如果有密钥，密钥不能同时配置在数据库里。

4) 日志中不可明文记录密码、银行卡号、身份证号。

5) 接口查询业务数据时的用户权限检查

6) 避免可遍历查询风险

7) 不可相信用户端请求的数据，例如不使用用户端提交的“创建时间”。前端已做过的表单规则验证，后端需要再次验证。

8) 用户提交数据时，服务端再次检查权限，不相信前端已检查过的权限。

9) 无其它常见的安全漏洞：sql注入、xss攻击等