@hahahehe2018 比 ZFS 灵车很多

@scriptB0y 前端传来的是 JSON ，框架 parse 出来的 password 是一个 dict

@drymonfidelia 还有 boolern 和 null(None)，也允许 忘写了

@Belmode 就是这么做的，目前会遍历 dict 每个 key ，只允许 number 、string 、list 的 value ，list 的 value 会再次过滤，只允许 string 和 number 的成员，希望不会再出问题

卧槽怎么好像又被黑了，数据库有大上传流量

@scriptB0y 因为 password 字段实际存的是短信验证码，我们偷懒直接三个条件（手机号 短信验证码 有效期）查出来有记录就登录成功

为什么要推流做假摄像头？

@drymonfidelia 九百多个接口从立项到上线只用了一个月多一点

@yunye 因为这个项目只有我们在做。项目质量差就是因为急着上线，招了一堆临时工赶进度

@lovelylain 对，我去过的几家公司都这么干

@009694 直接读的 json ，没有数据模型

@fangxiaoning 按二楼提供的关键词，参数化了还有一堆花样能注入

@msg7086 这系统只支持短信验证，password 字段存的其实是短信验证码，所以没加密
这套系统需求太杂了都是手动测试

为了解决这一普遍问题，明显是学日语更有效

@hdben 是，因为本来 MongoDB 就支持参数化查询，觉得没问题
@Masterlxj ORM 要写模型麻烦

@NewYear @sagaxu MongoDB 不需要定义类型，list dict 随便找个字段都能直接塞

@lambdaq 按照 2 楼的查一下，mongodb 注入花样还很多

@fzls 接口太多了，校验起来工作量翻倍