区块链安全-Solidity安全建议 (54chen.com)

【简介】

虽然通常很容易构建能够正常运作的软件, 但更难的是确定没有人能够以不是预期的方式使用它。

Solidity中,这更加重要,因为你会使用智能合约来 控制token,甚至可能是更加宝贵的东西。 此外,每次 智能合约的执行,都是公开的。并且, 代码也常常是开源的。

当然,你总是必须考虑这个问题有多大: 你可以用一个web服务来和智能合约进行对比,这个web服务向公众开放 (也可能是向恶意攻击者),甚至可能是开源的。 如果您只是在那个web服务上存储您的杂货列表, 您可能没有必要 关心太多,如果你使用这个web服务处理你的银行账户, 你应该更加谨慎。

本节将列出一些陷阱和一般安全建议,但 当然,永远不可能是完整的。 还有,请记住,即使你的智能 合约代码是没有bug的,编译器或平台本身可能有一个 bug。 编译器中一些已公开的安全错误列表 可以在 :ref:list of known bug<known_bugs>中找到, 这也是 机器可读的。 注意有一个覆盖Solidity编译器的代码生成器的 bug bounty 程序 。

点击查看原文 >>

@技术头条 2023-02-12 21:22 / 原作者微博:@54chen / 0个评论
赞过的人: @IT技术博客大学习
要不要再学学下面的文章?
nginx TLS 配置建议(Mozilla Recommendation) (www.addesp.com)
本文主要按照 Mozilla 对于服务端 TLS 协议配置的建议来提供 nginx 的配置建议,按照这些建议进行配置可以让我们的站点更加安全。
by @技术头条 2023-12-26 22:35 查看详情
关于接口可维护性的一些建议 (www.diguage.com)
在做新需求开发或者相关系统的维护更新时,尤其是涉及到不同系统的接口调用时,在可维护性方面,总感觉有很多地方差强人意。一些零星思考,抛砖引玉,希望引发更多的思考和讨论。
by @技术头条 2023-07-23 12:30 查看详情
我希望早点知道的关于成长的建议 (insights.thoughtworks.cn)
这篇准备了很久,又临时起意,而终于“完成”了的短文,旨在将一些我觉得重要的建议讲给渴望成长,又不知从何做起的同学们。这里分享的几个小的点,做起来难度应该都不算大,如果能持之以恒,我相信你可以看到自己成长的速度。
by @Thoughtworks 2023-02-24 09:39 查看详情
为什么MySQL不建议使用NULL作为列默认值? (mp.weixin.qq.com)
通常能听到的答案是使用了NULL值的列将会使索引失效,但是如果实际测试过一下,你就知道IS NULL会使用索引.所以上述说法有漏洞
by @code小生 2022-07-24 11:01 查看详情
面试之前,简历之上:给前端校招同学的简历建议 (www.alloyteam.com)
简历经常是给面试官的第一印象,但很多还没踏出校门的同学们不知道怎么写好简历,我时常有拿着一份简历不知道该怎么面试他的情况。而在秋招这种大规模招聘的季节,面试官刷简历时如果一份简历没法在很短的时间内吸引到注意力,那很容易就被漏过了,因为这样被淘汰岂不可惜。

那怎样的前端简历才算好简历?
by @技术头条 2022-06-19 23:02 查看详情
52条SQL语句性能优化策略,建议收藏! (mp.weixin.qq.com)
本文会提到 52 条 SQL 语句性能优化策略。

1、对查询进行优化,应尽量避免全表扫描,首先应考虑在 WHERE 及 ORDER BY 涉及的列上建立索引。

2、应尽量避免在 WHERE 子句中对字段进行 NULL 值判断,创建表时 NULL 是默认值,但大多数时候应该使用 NOT NULL,或者使用一个特殊的值,如 0,-1 作为默认值。
by @code小生 2022-04-10 21:11 查看详情
成为糟糕开发者的5个建议! (mp.weixin.qq.com)
伟大的数学家 Carl Jacobi 曾说过“反过来想,一定要反过来想”。在他看来,逆向分析问题有助于找到最佳解决方案。有鉴于此,伯克希尔·哈撒韦公司传奇合伙人查理·芒格在哈佛大学做了一场精彩的分享,主题关于探讨“怎样才能不成功”。由此,这让我开始思考——有什么最简单的方法能让你成为一名糟糕的开发者?你接下来将要看到的这些原则很主观,不尽全面,也没什么顺序。不过,如果你遵循这些原则,那么我敢保证你会成为一名糟糕的开发者。
by @code小生 2022-04-10 21:10 查看详情
一位10年Google工程师给技术人的建议 (mp.weixin.qq.com)
我在Google呆了10年半,离开时的头衔/职位是 Staff Software Engineer / Manager。大致分三期:



前两年关注 Linux 桌面搜索产品和 Google 的开源项目;中间三年花了许多力气在 Google 中国相关的产品上,诸如输入法、谷歌音乐之类;后面四五年大致都在 Knowledge Graph 的范畴内工作,这些工作和 Google 搜索、Google Now 最近几次大幅度的变革密不可分。
by @code小生 2022-01-09 23:10 查看详情
张一鸣:给产品技术人才的建议 (mp.weixin.qq.com)
这是张一鸣多年前的一篇文章,彼时的头条还是个小公司,还在为招募人才发愁。

这篇文章对互联网产品技术人才如何选择公司,提出了很好的建议,互联网行业选择远比努力重要。

干货一篇,值得深读,全文如下:
by @code小生 2021-12-12 11:10 查看详情
为什么不建议在MySQL中使用UTF-8? (mp.weixin.qq.com)
一年后,我看到一篇文章讲到emoji文字占4个字节,通常要用utf-8去接收才行,其他编码可能会出错。我突然想到去年操作MySQL把utf8改成utf8mb4的事儿。
by @code小生 2021-08-09 00:16 查看详情