调试易

我之前看过用人是用一个workflowId 来记录订单，但是当时这个模块不是我做的，他的状态指向了一个流程。您是不是也是这样实现的？我们的没做这方面的 事情， 但是如果要控制的话 ，可以设计一个 订单详情页面， 当用户有权限 对订单操作的时候 打开详情页面 就把订单的一个字段修改成 其他人不可操作。

安全的问题太大了，比如sql注入、上传的文件是否安全,各种验证最好是前后台都要有

电子商务系统中的订单状态，如何保证安全.txtweb的安全除了常规的sql注射,xss,CSRF避免,还是有许多的特别的的防范1.网站后台管理程序不要和前台程序放在同一个服务器上...后台管理程序最好不使用web,而是CS方式...
2.数据库跟网站web服务器不要放在同一个服务器上,避免主机管理员接触到数据库..而且避免数据库管理员接触到网站程序..
3.订单程序使用编译型语言java写,避免使用php等明文语言..非常重要的的核心程序可以使用c++...
2.数据库服务器和网站服务器的通信要使用ssl加密,,这个普通的数据库都可以设置的..
3.订单数据要加密保存....这样可以避免数据库管理员看见数据..
4.一般订单数据加密后是很安全的...但是当前许多的订货库是非加密的,全变化为加密数据更改程序大的..可以仅仅加密金额等字段..
5.金额等重要字段还可以添加md5签名来保证安全,这样数据库管理员更改字段也可以发现,订单程序就会自动检测到非法修改并且锁定..
6.对于能同时接触到程序和数据库的成员的防范,需要增加另一个数据库做为回溯安全数据库..订单正常使用的时候儿,解密,再做签名比较,最后,和回溯安全数据库比较,来保证安全...