今天遇到一个bug,就是别人的文章附件可以通过在编辑自己的文章时,通过修改附件id把别人文章的附件改成我的。
还有更新文章时,甚至可以任意修改别人的文章内容…
以上等等情况都是业务逻辑不严谨造成的。
解决办法:在做增删改查的时候一定要严格按照业务来,该加的条件一定加上。比如更新文章可以修改别人的文章内容情况就是,查文章的时候都是按照id来查的 没有加上作者的id就行筛选。也就造成了任何人都可以通过修改id来获取他人的文章。
所以在完成编码的时候非常有必要进行更严格的条件筛选
今天遇到一个bug,就是别人的文章附件可以通过在编辑自己的文章时,通过修改附件id把别人文章的附件改成我的。
还有更新文章时,甚至可以任意修改别人的文章内容…
以上等等情况都是业务逻辑不严谨造成的。
解决办法:在做增删改查的时候一定要严格按照业务来,该加的条件一定加上。比如更新文章可以修改别人的文章内容情况就是,查文章的时候都是按照id来查的 没有加上作者的id就行筛选。也就造成了任何人都可以通过修改id来获取他人的文章。
所以在完成编码的时候非常有必要进行更严格的条件筛选