haohaizi

摘要： 当用户已经登陆成功后，在进行其他的修改操作时，很多都需要进行信息的校验，来确认用户修改的信息是否是他自己的发布的信息，避免他手动的的修改传入参数，修改非自己的信息。最经我们有个逻辑的漏洞，在app调用服务端的登陆接口登陆成功后，返回给app的信息中包含用户的userid,客户端在回去返回的userid后，会在其他的业务中把该userid传递过去，我们一些业务没有对这个userid进行真实性校验，这... 阅读全文