| 被刷了积分 -。- |
概要
分析系统逻辑、日志文件、数据等可以发现,存在“通过大量请求刷取积分”的问题。
借助了数据响应、数据存取的时间差,通过大量的、并发的重复请求,来达到恶意获取积分的目的。
本人不赞同以上行为,请勿模仿。
应对方式
- 页面提交功能限制
- 将原逻辑改为异步处理
- 将用户请求跟增加积分切开处理
页面调整
点击 提交 按钮后,先禁用按钮,再进行提交操作。
用户请求
提取关键属性(例如:会员编号),设置唯一主键。
借助关系型数据库主键约束,确保一个用户只能有一条有效记录。
增加积分
采用定时器,设置一个时间间隔从数据库中获取某一段时间内的有效记录。
循环处理这些记录,并更新处理标记。
吐槽
从来都内部系统 | 换成外部系统 | 这不 | 露底了 | 渣渣技术
很呆 | 不萌