安全性测试

1.url哪些参数可以放进去,哪些不可以放。

http://www.test.saofang.cn/companyManager/tecent/activityLottery.do?activityId=85

后面的id 可以随便改,可以查所有活动。


url作处理+后端限制。


编辑房源时,不应带有房源ID,防有人改ID编辑其它人的房源,加密。比如每个用户密钥都不一样,很难破解。

2.有些操作自已去数据库确认,而不靠control层。比如,编辑活动时活动时,活动还没有开始,但是提交时可能已经开始,所以在提交时应检查活动时否开始,而不应相信端未开始的状态显示。

3.数据库层限制查询:某些不符合当前账号权属的查询,不应被执行。

4.大数据流量测试:参与人数过多时。

你可能感兴趣的:(测试)