这种情况要验证吗?

比如用户User底下有设备Device,通过传入的deviceid来操作对应的Device,那么要不要验证该deviceid是属于当前用户的。否则如果有人恶意传入一个deviceid,就可能把别人的device给操作了吧。
我只是问个规范习惯问题。

解决方案 »

  1.   

    我个人觉得有点奇怪,为什么要传入deviceid来操作该Device呢?  难道不应该是不同的Device包含有不同的device的实现吗?  你的结构可能会有些问题。
    比如我的Test就包含Device,但是也不需要什么deviceid来调用对应的方法撒。package test;
    public class Test { static Drivce d = new XxDrivce(); 

    public static void main(String[] e) {
    d.run();
    }
    }abstract class Drivce{

    public abstract void run();

    }class XxDrivce extends Drivce{
    public void run(){
    System.out.println("XxDrivce run");
    }
    }
      

  2.   

    我的是ORM啊,有绑定关系的。
      

  3.   

    不用,因為deviceid應該是你修改或者刪除device是否傳遞到後台的primary key。你是怕primary key會被人在client端修改傳遞惡意的deviceid?那你可以傳遞userid和deviceid,這樣,修改的時候,肯定是針對user下的特定deviceid了。主要還是看你的業務。
      

  4.   

    当然要噜,像这种改url的情况,严格上来讲是一定要做验证的,不过我们公司的项目搞得不是很规范,所以都没验证,甚至连格式都不判断,反正改了报错是用户的事,谁叫他乱改。。