11.7 充值支付
关于支付漏洞已经在6.2.1.4节详细介绍过,主要有四种,分别是客户端可修改单价、总价和购买数量以及利用时间差多次购买,这里不再反复介绍,针对这四种情况的主要应对手法是:
1)保证数据可信,商品单价及总价不可从客户端获取。
2)购买数量不能小于等于0。
3)账户支付锁定机制,当一个支付操作开始就应该立马锁定当前账户,不能同时两个后端请求对余额进行操作。