|
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
最后更新时间:2007-10-30
我们公司无论是小项目还是大项目,控制权限时从来没有在后台进行控制,
比如user.do?do=delete&userid=7这个url,客户可以在地址栏上直接敲入并成功执行, 其他类似的bug也非常之多,我都有点不能忍受了。 是不是客户都很傻,很好忽悠?项目只要表面上看起来好像能用就可以了吗?技术一点都不重要?你们公司也是这样的情况吗? 声明:JavaEye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
|
| 返回顶楼 | |
|
最后更新时间:2007-10-30
呵呵,你们公司挺逗的。
|
| 返回顶楼 | |
|
最后更新时间:2007-10-30
这当然不行了,也不安全
|
| 返回顶楼 | |
|
最后更新时间:2007-10-30
fuwang 写道 我们公司无论是小项目还是大项目,控制权限时从来没有在后台进行控制,
比如user.do?do=delete&userid=7这个url,客户可以在地址栏上直接敲入并成功执行, 其他类似的bug也非常之多,我都有点不能忍受了。 是不是客户都很傻,很好忽悠?项目只要表面上看起来好像能用就可以了吗?技术一点都不重要?你们公司也是这样的情况吗? 当然要考虑了。。。 |
| 返回顶楼 | |
|
最后更新时间:2007-10-30
这个问题大家肯定都考虑的。
不过我就奇怪了,你怎么可以直接敲url就可以删除?难道系统没有权限管理吗? |
| 返回顶楼 | |
|
最后更新时间:2007-10-30
myyate 写道 这个问题大家肯定都考虑的。
不过我就奇怪了,你怎么可以直接敲url就可以删除?难道系统没有权限管理吗? 只考虑了是否登录和登录后看到的菜单,具体的insert,delete,update等操作没有真正进行控制。 我已经提过多次了,可没人关心这个问题。 |
| 返回顶楼 | |
|
最后更新时间:2007-10-30
等真正出了问题,就有人关注了!
|
| 返回顶楼 | |
|
最后更新时间:2007-10-30
我晕...
|
| 返回顶楼 | |
|
最后更新时间:2007-11-02
lijie250 写道 等真正出了问题,就有人关注了!
大约三年以前天涯的网站就是用楼主的方式来作的,以方便多数据库集群。 后来出了N多盗号的。。。。不得已改成现在这个样子(非常的慢) |
| 返回顶楼 | |
|
最后更新时间:2007-12-21
客户端验证永远代替不了服务器端验证
|
| 返回顶楼 | |
