投票系统使用感受

这几天本身也比较忙,有各种事儿,所以没有大块大块的时间去研究投票。但是,每天晚上还是要去关注一会儿的,尤其是放到服务器上之后,我更是有点儿提心吊胆的。每每晚上登陆QQ后,看到Tm3yShell7发过来的注入点,我先是一惊。然后很庆幸,好歹又少了一个注入点。好了,闲话少叙,回归正题。

  • 麻雀虽小 ,五脏俱全

老理儿说得对,麻雀虽小,五脏俱全。我这个投票,出于简单实用的角度考虑,功能上能省则省。再加上我的混乱代码设计,导致用户操作很不方便。比如,添加完一个投票活动后,用户找不到在哪里可以编辑活动介绍。删除更是一塌糊涂。没有全选项,只能受动一个一个删除。对于数据库的操作,老听人说就是增、删和改。由于是面向用户的,所以用户接口一定要做好,这对于我来说是一个很大的体验和教训。当自己觉得这个东西很部方便的时候,我想用户应该不会觉得好用。用户不会关心你怎么实现的,他关心如何操作。心得:友好的用户接口永远不会过时,并且是很重要的一个方面。

  • 细节决定成败

很明显的事情。我在设计之初就考虑到了防注入的问题。并且在代码中使用了过滤类,对于用户的输入、Get方法和Post方法的值都进行了过滤。然而疏忽无所不在。Tm3yShell7至少找到了4个页面,存在明显的未过滤变量的现象。我仔细查看了下,这些页面都是我在设计好投票系统之前就顺手完成了的页面。比如用户注册、用户取回密码页面。这些都是设计到了用户信息的页面,我反倒是没有做过多的检查。  在更新了功能后,没有删除掉旧的页面。回想起上一次负责投票活动。注入点就在用户注册页面,但是比较扯淡的是,数据库里存的是明文密码,这次我好歹经过了一次md5加密。心得:小小的疏忽,可能带来致命的打击。投票系统马上就要使用了,但愿顺利

joke


已有 8 条评论
  1. 祝顺利~

    1. 已然结束了,谢谢啦!

添加新评论