1.url哪些参数可以放进去,哪些不可以放。
http://www.test.saofang.cn/companyManager/tecent/activityLottery.do?activityId=85
后面的id 可以随便改,可以查所有活动。
url作处理+后端限制。
编辑房源时,不应带有房源ID,防有人改ID编辑其它人的房源,加密。比如每个用户密钥都不一样,很难破解。
2.有些操作自已去数据库确认,而不靠control层。比如,编辑活动时活动时,活动还没有开始,但是提交时可能已经开始,所以在提交时应检查活动时否开始,而不应相信端未开始的状态显示。
3.数据库层限制查询:某些不符合当前账号权属的查询,不应被执行。
4.大数据流量测试:参与人数过多时。