1.url哪些參數可以放進去,哪些不可以放。
http://www.test.saofang.cn/companyManager/tecent/activityLottery.do?activityId=85
後面的id 可以隨便改,可以查所有活動。
url作處理+後端限制。
編輯房源時,不應帶有房源ID,防有人改ID編輯其它人的房源,加密。比如每個用戶密鑰都不一樣,很難破解。
2.有些操作自已去數據庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但是提交時可能已經開始,所以在提交時應檢查活動時否開始,而不應相信端未開始的狀態顯示。
3.數據庫層限制查詢:某些不符合當前賬號權屬的查詢,不應被執行。
4.大數據流量測試:參與人數過多時。