问题背景:
系统一般会存在用户(user,含user_id)和该用户下的某些东西,比如,商品Product。
当用户要修改或删除操作时,开发人员喜欢在url中用问号附带该商品id,product_id来表明要操作的对象,便于后端获取。
此时,后端容易犯的错误是:
1)对id的check,即该id能否获取到Product,不能获取到的情况下的处理(null,try catch异常处理),否则容易抛null异常。
2)仍然是id的check,但check的是该id是否是当前用户user下的product_id,如果不做该check,那用户可能通过直接修改url后的参数信息
来获取别人的相关信息,如果能修改那就麻烦大了。这是一个很严重的问题。