日期:2014-05-20  浏览次数:20794 次

这种情况要验证吗?
比如用户User底下有设备Device,通过传入的deviceid来操作对应的Device,那么要不要验证该deviceid是属于当前用户的。否则如果有人恶意传入一个deviceid,就可能把别人的device给操作了吧。
我只是问个规范习惯问题。

------解决方案--------------------
不用,因為deviceid應該是你修改或者刪除device是否傳遞到後台的primary key。你是怕primary key會被人在client端修改傳遞惡意的deviceid?那你可以傳遞userid和deviceid,這樣,修改的時候,肯定是針對user下的特定deviceid了。主要還是看你的業務。