脆弱的数据校验

e*****有个在线自助更改体检日期的功能。似乎是个匆匆忙忙写完就上线的东西。

在它的date picker中,只能改到当前月和下个月,但LP想改到10月份。

我说,我来试试能不能cheat。

我打开我最常用的FF,登录e*****,在Firebug中执行一句

document.getElementById('change_date').value='2011-10-22'

弹指间,表单中的日期变更为2010-10-22。但现在还不能高兴的太早,现在只是自己在客户端自娱自乐,再进行下一步:点击提交按钮。不出所料,e*****返回“更改成功”的消息,同时手机接收到短信,被告知体检日期已改为2011-10-22。可见e*****的程序只做了客户端的限制,却没做服务器端的数据合法性校验(e*****的码农们偷懒?)。

 

忽然想起当年误入交大软件学院特聘教授张艳红(曾经在美国著名野鸡大学桥港大学流血、著名的项目管理大师、特长是吹牛皮和忽悠傻逼)门下时,在艳红班上曾看到一个自称来自e*****的学员,在研究生英语课上讲台演讲,大舌头加带中国某地方言的英语发音,说英语时眼睛从来不看人,在课堂上一直摆弄满屏幕密密麻麻的代码...

你可能感兴趣的:(Firebug,项目管理)