讨论请移步至:http://www.zhiliaotech.com/ideajam/idea/detail/317
相关文章:
《今天你买到票了吗?——从铁道部12306.cn站点漫谈电子商务站点的“海量事务快速处理”系统》
“大型票务系统”和“实物电商系统”在不能提供商品(服务)时给消费者带来的影响有巨大差异
“大型票务系统”和“实物电商系统”的系统边界之间的差别与联系
“大型票务系统”和“实物电商系统”按系统边界分析各种业务形式
“大型票务系统”和“实物电商系统”在恶意订单方面的差别与联系
大型票务系统中username和password的安全性问题
“大型票务系统”和“实物电商系统”在“库存”计算方面的巨大差异
“大型票务系统”和“实物电商系统”在和企业其它部门关系的联系和误区
“大型票务系统”和“实物电商系统”和企业其它部门的依赖关系对项目管理的影响
一,大型票务系统中没有UGC(用户创造内容),因此这方面的安全性算不上重点,可是应分离票务系统和其它的UGC功能,比如旅客留言功能。
二,大型票务系统不会是WEBserver直接訪问数据库,而是WEBserver訪问应用server,应用server再訪问数据库,因此SQL注入的风险不大。
可是应用server应对WEBserver的请示进行充分的较验,避免通过WEBserver攻击应用server。
三。大型票务系统中不同角色的权限控制不仅在应用中控制。同一时候在部署上也进行控制。比如代售点的电脑訪问票务系统,不仅要username和password验证。进一步应该在设备上加以控制,也就是仅仅有这台电脑能訪问。
四,大型票务系统中分成票务管理和票务销售之后,要有对应的审计机制。
比方说卖了一张票后,还要进一步较验票务销售中的票价是否符合票务管理中的票价,避免票务销售部分出现缺陷或者被攻击导致票价和支付不一致。
联系作者:QQ 443089607 微信:huzhenghui
产品经理请加QQ群 189763636 群07期Axure7PM交互