接盤就是坑啊,坑坑不一樣啊。
哈哈哈,但是接盤是提升治療代碼疑難雜症水平的經驗積累
對於電商來說最重要的除了性能外就是安全性了。
如果安全性差的話就導致整個項目被惡意盜刷,接下來我就講一下我遇到的一個坑
起因
前公司某員工調動,之前同事負責的一個虛擬賬戶活動頁面交給我負責。
基本上就是一個簡單的虛擬賬戶,賬戶可以通過簽到,抽獎,購買的方式來獲取。
事故開始
其實我也非常的費解,爲什麼項目在別人手上運行的好好的,到了我手上還沒開始
就已經出現了問題。老天是真的擔心我學不會什麼。這是我接到項目的第三天,項目
運行後,我通過後臺發現。爲什麼有個用戶會頻繁的添加賬戶餘額,而且都是一個值。
最後這個用戶的餘額達到了50000多,我們這裏設置的1個就是一塊,1:1,果不其然
用戶馬上用來兌換了一個蘋果手機。坑爹啊。客服還給發出去了,我馬上告訴了產品。
檢查
然後仔細想了想,肯定是開放入口的問題。
檢查了一下籤到,抽獎。擦
果不其然,就是一個jquery 計算好分數直接給我傳遞到後臺,後臺啥都沒做,直接UPDATE.
修改
發現後,沒辦法,我去修改,我做了個改變。
1.後端:計算分數由後端做,並且設置了間隔頻次。不能頻繁刷新
2.前端:點擊一次後簽到鎖死。抽獎功能等待後臺出結構再把請求放出來。購買功能跳轉到完成頁面。
結果
發佈上線後算是解決了這個問題。