应用软件安全相关术语

缓冲区溢出 buffer overflow

  向程序的缓冲区写入超出其长度的内容，从而破坏堆栈，使程序转而执行其他指令，以获取程序或系统的控制权

命令注入 command injection

  通过应用程序将用户输入的恶意内容拼接到命令中，并提交后台引擎执行的攻击行为。

应用软件日志 application softwareing

  用于记录系统操作事件的文件集合

线程安全 thread safe

  某个函数，函数库在多线程环境中被调用时能够正确地处理多个线程之间的共享变量，使程序功能正确执行的能力

线程同步 thread synchronization

  多个线程通过特定手段来控制线程之间执行顺序的一种机制。（当有一个线程在对内存进行操作时，其他线程就不能对该内存地址执行操作，直到该线程操作完成，此时，其他线程被设置处于等待状态）

死锁 deadlock

两个或两个以上的进程在执行过程中，因竞争资源或彼此通信而造成的一种阻塞现象。

阻塞 block

  进程/线程暂停执行过程，等待请求被应答的状态

游标 cursor

  一种用于操作数据库查询返回的多行结果集的机制

敏感数据 sensitive data

  必须受保护的，其泄露、修改、破坏、或丢失会对人或事产生可预知的损害的信息（常见的敏感信息包括但不限于身份鉴别数据，会话标识符，口令，连接字符串等）

秘密数据 secret data

  为了执行特定安全功能策略，只能由授权用户或被评对象安全功能知晓的消息

添加变量  salt

  作为单向函数或加密函数的二次输入而加入的随机变量，可用于导出口令验证数据

线程挂起 thread suspension

  暂停线程运行的操作（在线程挂起后，可以通过重新唤醒线程使之恢复运行）

异常 exception

  导致程序中断运行的一种指令流（如果不对异常进行正确的处理，则可能导致程序的中断执行）

错误 error

  系统运行中出现的可能导致系统崩溃或者暂停运行的非预期问题

硬编码 hardcode

  在编码过程中将可变变量用一个固定数值表示

封装 encapsulation

  将系统功能、一组数据和在这些数据上的操作隔离在一个模块中，并为该模块提供精确的规格说明的软件开发技术

泛型 generic type

  程序设计语言的一种特性（通过引入参数化数据类型，允许程序员在强类型程序设计语言中定义类型时包含一些可变部分，这些部分在使用前作出指明）

堆污染 heappollution

  当将一个参数化的数据类型指向一个对象，而该对象不是参数化数据类型，或不是同类型的参数化数据类型时，会产生堆污染

嵌套类 nestedclass

  声明在另一个类或接口代码块中的任意类。

并发程序 concurrent program

  可通过多进程、多线程机制实现，允许在同一时间段执行多个程序模块的机制。

来源：mou某谋