[TOC]
GET
环节
-----------
| 获取参数 |
-----------$_GET直接获取SQL 注入SQL 防注入的工作在数据库处理时候预防,当前不考虑- XSS 攻击
- CSRF 攻击
统一过滤
- CI 中可用
$this->input->post_get()进行 XSS 过滤
- CI 中可用
-----------
| 格式检查 |
------------ 为了不造成查询数据错误?
为了防止 SQL 注入
id为整数- 日期格式
-------------------
| 查询数据库获取数据 |
-------------------资源存在
- 如不存在应立即返回错误结果
资源可被访问
status检查
-----------
| 处理结果 |
-----------代码转换可读文案
MVC 模式下,该环节应该结合上一个环节“查询数据库获取数据”在模型中处理?
-----------
| 返回结果 |
-----------POST
环节
-----------
| 获取参数 |
-----------$_POST直接获取
--------------
| 校验参数格式 |
--------------- 非空
- 手机
- 邮箱
--------------
| 校验参数合法 |
--------------结合 DB 查询
- 判断用户名、手机是否已存在
- 判断商品库存是否可售
-----------
| 调用类库 |
-----------------------
| 操作数据库 |
------------请求数据组装成记录结构
如何命名?
- 通用性:所有的 action 都可用该命名而不会产生歧义
- 特定性:固名思义属于数据库的记录
