首页新闻找找看学习计划

如何防止用户伪造数据

0
悬赏园豆:15 [已解决问题] 解决于 2017-04-05 09:26

这样一个场景:用户登陆博客后台,新建了一篇文章,并选择了几个个人分类,然后在本地拦截请求,把里面的个人分类ID修改掉,再提交请求。

服务端接收到请求之后,将这篇文章按照请求中的个人分类ID进行关联。由于个人分类ID是非法的,所以有可能导致把别人的分类关联上了,或者其它意外情况。

所以,这就需要验证请求中的个人分类ID是否属于该用户,这样的验证逻辑导致代码的可读性变差。

那么是否有优雅的解决办法呢?

蝌蝌的主页 蝌蝌 | 菜鸟二级 | 园豆:210
提问于:2017-04-01 20:20
< >
分享
最佳答案
0

1、首先 ID 可以采用GUID,不要使用自增 int ID,这个一般很难随便改能改对

2、必须使用校验呀,一定有专门的分类和用户关联的表吧,去校验一下,这个不会导致验证逻辑可读差的

淘宝的逻辑复杂不,12306的  绝对复杂呀

看你代码的编写能力了

收获园豆:10
代码小六 | 初学一级 |园豆:9 | 2017-04-03 00:25
其他回答(3)
3

你知道非法还关联。
用你知道非法的判断去拒绝它就行了

收获园豆:5
兰冰点点 | 园豆:394 (菜鸟二级) | 2017-04-01 20:25
1

这样的验证逻辑导致代码的可读性变差 

你是怎么得出这个结论的?

吴瑞祥 | 园豆:28665 (高人七级) | 2017-04-01 21:03
-1

找个aop框架来拦吧,你这属于权限类的,一般处理这种只有这种方式最后代码看起来噪音比较小。

Daniel Cai | 园豆:10374 (专家六级) | 2017-04-01 22:05
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册