1、将请求方式由get改成post。 应get方式是host+参数名称+请求数据,请求数据放在请求地址上暴露给用户,可以使用户自己直接修改。 如果使用post的方式,请求数据会放到请求体中,不显示给用户,可以有效有防止用户直接修改请求数据进行猜想请求。
3、对请求数据进行参数加密操作。 不管是对称加密还是非对称加密都可以有效的防止用户修改请求数据,数据合组与加密的规则可以自定义。
5、添加数据库数据权限功能。 给每一条数据都添加权限,当前用户进行数据操作前判断当前用户是否拥有操作目标数据的权限,如果没有则操作失败。 简单的方式为:为数据添加创建人id字段,判断当前用户id与创建数据人id是否一至,是否有操作权限。
