8.5 进阶安全防护

待开发

基础安全只是第一步。随着产品上线，你会面临更复杂的安全威胁。

常见攻击防护

SQL 注入：使用 ORM（Drizzle/Prisma）自动转义，不要手写 SQL
XSS 攻击：React 默认转义 HTML，不要直接用 dangerouslySetInnerHTML
CSRF 攻击：Next.js 内置 Token 验证，确保表单提交带 CSRF Token

AI 应用安全

提示注入：用户输入可能劫持 AI 行为，对输入做过滤和限制
输出过滤：AI 返回的内容可能包含敏感信息，做脱敏处理
速率限制：防止 API 被滥用，限制单用户请求频率

数据安全

敏感数据加密：数据库中存储加密后的手机号、身份证号
依赖漏洞扫描：定期运行 pnpm audit，及时更新有漏洞的包
密钥轮换：定期更换 API Key 和数据库密码

大部分防护是内置的

Next.js + Drizzle + React 的组合已经帮你挡住了 80% 的常见攻击。

反馈与建议：发现内容有误或想补充？欢迎在下方评论区留言，或到 GitHub 提 Issue

点我给个 Star 吧：