公司的商城 App 被人一分钱下单，不知道他是怎么办到的

lz 不会是后端吧。...
后端不用验证？天啊...

永远不要相信客户端数据，服务端必须验证。

你根本想象不到撸羊毛群里有多少人整天等着用 Fiddler 改数据。

哈哈... 看来大神多... 没事，坑趟多了就好了。我现在都想把客户端只做显示用，所有能不要的逻辑都撤掉..

@konakona 我不是后端,但似乎干了后端的活

@VRYANG 本来就是，业务都是后端处理，前端只是显示。

就这种水平还要做 APP 啊。。。。。。

@viator42 你是前端？

后端不做校验，可以有多种方式修改价格

@ihuotui 技术水平参差不齐啊，产品也不懂...剩下的只有坑...

神逻辑，怎么不把用户验证也打包到 APP 里面去

@konakona 我是做 App 的

那你肯定是客户端传的什么价格你就用什么价格了，前端的价格只是用来显示的，顶多后端允许订单号、商品 id 、商品数量这类数据，服务端再自己计算一次价格

以前我就职的一家公司也是这样，买了一套 o2o 系统二次开发，也是 TM 一分钱购买，害我修改了大半天，吓死人

@viator42 这后端懒到家了

LOW

找台笔记本 设置 wifi 代理 然后手机链接这个 wifi 然后 笔记本对流量抓包

撒分析不出来 偷懒的后台 然后 后台前台数据不加密 还有直接用 http/https 协议 api 的 ...

你们懂的....

连微信都被抓包然后出来一堆微信机器人 你们后台咋这么自信呢 ....

干脆叫一分钱夺宝

楼主，请谷哥 FD 大法

后台不验证！价格由客户端传进来！赶紧报告公司把这个后端开了、
写接口时，要抱着这个接口是公开透明的，所有人都知道的想法来写，要写到就算所有人都知道接口，也没有办法钻漏洞

题外话
@ccloli 学弟最近怎么点进哪都能看到你

明显不应该客户端去计算,同样想起了上次客户端生成订单号的帖子