javascript - 一种利用本地存储存储购物车详细信息的更好方法

Question

我目前正在开发一个电子商务网站。该网站将没有登录页面，因为我们没有将用户详细信息保存在数据库中。相反，我们将保留用户的电子邮件以便与他们联系。因此，我们不会在数据库中拥有用户表。为了将数据保存在用户的购物车中，我们将使用本地存储来存储它。但是又怕一些恶意用户篡改购物车里的内容，比如商品价格。因此，我可能考虑将产品 ID 存储在本地存储中，然后在用户重新加载页面时从我的数据库中检索特定产品。

这个解决方案是否可靠？是否有更好的方法利用本地存储来存储用户的购物车，或者是否有本地存储的替代方案？

Answer 1

快速简单的回答:

"Sanitize the user's cart data BEFORE sending it to the back-end and check it against a pre-defined product database to make sure the products exist and that they actually cost what's specified by the cart data."

长而详细的答案:

您应该实现一个三阶段系统来验证用户的购物车数据:

1. 根据您的电子邮件列表/数据库检查用户的电子邮件
2. 在将用户的购物车数据发送到后端之前清理用户的购物车数据
3. 根据预定义的产品数据库验证购物车的产品

这样做可以防止黑客:

1. 使用虚假用户数据购买产品
2. 修改产品数据
3. 使产品更贵/更便宜
4. 使用用户的购物车数据将恶意代码注入(inject)您的后端
5. 制作/购买假冒/不存在的产品

您还应该使用浏览器的内置功能来 escape user input :

function escape_input(data) {
  var div = document.createElement("div");
  div.appendChild(document.createTextNode(data));
  return div.innerHTML;
}

因为(根据链接网站):

"It's important to be constantly vigilant with the handling of user data. To avoid SQL injection, never build database queries by concatenating user-supplied data. These measures protect the integrity of the data on our servers."

我还建议在用户可以进行购买时需要某种身份验证系统。

Google 的两步验证系统就是一个很好的例子，它要求您将通过短信/电话发送给您的验证码输入到输入表单中。

这样做是为了验证用户的身份并防止人们访问/使用其他人的帐户，这个系统几乎不可能被欺诈，但也很容易错误地实现，所以我会采纳这个建议一粒盐。

很遗憾，由于您没有指定任何代码，我无法确定您网站的安全性。

如果您使用该代码创建一个新问题并将其链接到此处，我将非常乐意尝试帮助您解决应用程序的安全漏洞(如果有的话)。

祝你好运，注意安全。