文章目录
[+]
1,假分页
真正的分页是每次只从数据库取当前页的数据,比如每页10条数据,取第二页,就是第11-20条数据。这样做的好处是减轻服务器和客户端的压力。
假分页则是一次从数据库取出大量数据甚至是全部数据,然后由应用程序代码从中间取第11-20条,然后渲染到界面。如果数据量非常大,这种骗局可能会导致应用程序直接崩溃。
(图片来自网络侵删)
2,假权限
权限是向不同的角色和用户分配不同的模块,菜单或按钮权限,同时用户进行操作的时候服务器要先判断当前用户是否拥有当前操作的权限,只有在有权限的情况下才能正常操作。
其中有两个关键,一是分配权限,然后根据用户的权限展示模块,菜单和按钮,二是操作的时候对权限进行验证。
假权限就是只有第一部分分配权限的功能,没有对权限验证的部分。如果是C端,问题还不是很大,如果是B端,问题就会凸显,高级权限用户登陆了网站系统,定位到一个普通用户无权限的页面,普通权限用户在新的标签页重新登陆,然后回到高级权限用户的页面,依然可以看见按钮,这时候点击按钮,如果服务端没有权限鉴定,那么普通用户就进行了高级的操作。
当然权限不仅仅是上面描述的那么简单,也没有上面说的那么容易突破,当时如果么有服务器鉴权的话,稍微有些技术知识的人就有可能可以通过F12等简单手段突破权限。比如F12界面开启的状态下,留下了高级权限的操作痕迹,对操作痕迹进行XHR重放仍然可以重复发送操作,这时候如果后端服务没有鉴权就危险了。
3,假性能优化
有编程人员在编码时候通过技术手段降低服务性能,等后期甲方提优化需求的时候把这段代码去掉,能够显著提升性能。
