输入和输出

1 .检查是否做了html代码的过滤，可能出现的问题：如果有人输入恶意的html代码，会导致窃取cookie,产生恶意登录表单，破坏网站。
2 .检查输入数值的合法性，异常的数值可能会造成问题。如果对输入的数值不做检查会造成不合法的或者错误的数据存入UDB，存入其他的数据库或者导致意料之外的程序操作发生。
3.核实cookie的使用以及对用户数据的处理可能出现的问题，不正确的cookie使用可能造成数据泄露。
4 .在数据库阶段要对get,post传入的参数进行严格的过滤和合法性验证，不推荐直接使用数据。

用户记录

1 .确保对用户关键的操作保存了完整的访问记录。
2 .

引号

1 .最外层使用双引号
2 .url的内容要用引号
3 .属性选择器中的属性值需要引号

省略嵌入资源协议头

1 .省略图片，媒体文件，样式表和脚本等url协议头部声明(http,https)
2 .省略协议声明，使url成相对地址，防止内容混淆和导致小文件重复下载（主要是指http和https交杂的场景中）

<script src="//www.google.com/js/gweb/analytics/autotrack.js"></script>


.example {   background: url(//www.google.com/images/example)};

按模块添加注释

1 .在每个模块开始和结束的地方添加注释。
2 .新闻列表模块，排行榜模块