不是安全專家我希望你能爲我澄清一些事情。交易應用程序中可能存在的安全問題(Django)
我正在構建一個應用程序,用戶可以「交易」虛擬物品。我正在用Django構建它,以防萬一您感興趣。
一個示例方案: 愛麗絲(UserID=1
)具有良好-A具有一定值(X)。其中good-A基本上是具有屬性(ID, Name, Desc, Value, Owner
)的「tradable items
」數據庫中的數據庫條目。店主good -A是Alice。現在,如果愛麗絲想給良好-A到鮑勃(UserID=2
)她改變的良好-A Bob的UserID=2
的 「Owner
」 屬性。
這意味着。爲了得到愛麗絲所有物品的總價值,我做了一個數據庫查詢詢問「accumulate the Value values of all items in the tradable items database having the Owner=1
」
所以所有用戶的所有商品都存儲在一個數據庫中。 (邪惡)用戶是否可以將可交易物品的所有者屬性(不屬於他們)更改爲自己的物品,從而產生安全問題?
我知道這取決於特定的實現,但也許你在這個計劃中,一般看到的一個漏洞......
所以......這是實現這樣的情景的好辦法?或者你有更好的想法嗎?