如何防止用户伪造数据

悬赏园豆：15 [已解决问题] 解决于 2017-04-05 09:26

这样一个场景：用户登陆博客后台，新建了一篇文章，并选择了几个个人分类，然后在本地拦截请求，把里面的个人分类ID修改掉，再提交请求。

服务端接收到请求之后，将这篇文章按照请求中的个人分类ID进行关联。由于个人分类ID是非法的，所以有可能导致把别人的分类关联上了，或者其它意外情况。

所以，这就需要验证请求中的个人分类ID是否属于该用户，这样的验证逻辑导致代码的可读性变差。

那么是否有优雅的解决办法呢？

伪造数据

蝌蝌 | 初学一级 | 园豆：158
提问于：2017-04-01 20:20

< >

最佳答案

1、首先 ID 可以采用GUID,不要使用自增 int ID,这个一般很难随便改能改对

2、必须使用校验呀，一定有专门的分类和用户关联的表吧，去校验一下，这个不会导致验证逻辑可读差的

淘宝的逻辑复杂不，12306的绝对复杂呀

看你代码的编写能力了

收获园豆：10

代码小六 | 初学一级 |园豆：12 | 2017-04-03 00:25

其他回答(3)

你知道非法还关联。
用你知道非法的判断去拒绝它就行了

收获园豆：5

兰冰点点 | 园豆：401 (菜鸟二级) | 2017-04-01 20:25

这样的验证逻辑导致代码的可读性变差

你是怎么得出这个结论的?

吴瑞祥 | 园豆：29449 (高人七级) | 2017-04-01 21:03

-1

找个aop框架来拦吧，你这属于权限类的，一般处理这种只有这种方式最后代码看起来噪音比较小。

Daniel Cai | 园豆：10424 (专家六级) | 2017-04-01 22:05

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。