Ale*_*Mcp 2 language-agnostic security design-patterns
我有一个生成礼品代码的后端,每个代码都有一定数量的用途.将这些内容提供给博客或其他任何人,他们的读者可以兑换促销项目的代码.
我正在研究检查代码有效性的最佳方法,而不会发生碰撞/欺骗,或类似的事情.我需要1)验证代码2)收集运输信息
我的初稿是
A)通过表格检查代码,如果好,继续进行地址输入.收到输入后,保存代码和地址/名称等.
这失败了,因为如果75使用代码有74次使用,25人可以"验证"但尚未输入他们的地址,我们最终会有超过75次有效兑换.
我目前的解决方案看起来更像:
B)只需将代码作为信息收集表单中的第一个字段,并在输入有效代码时,ajaxify并对数据库进行实时检查.如果代码有效,则会显示表单的其余部分,并且代码的条目被"声明"半小时或其他内容.如果半小时内没有数据库条目,则会释放.
这看起来相当复杂,我想知道我是否需要对ajax进行限制,以确保人们不会强行执行有效的代码.
这种方法是否安全,和/或是否有任何其他明显的模式我缺少这种类型的应用程序?