[项目bug收集整理3]get页面，post页面的url 参数预防问题

问题背景：

系统一般会存在用户(user，含user_id)和该用户下的某些东西，比如，商品Product。

当用户要修改或删除操作时，开发人员喜欢在url中用问号附带该商品id，product_id来表明要操作的对象，便于后端获取。

此时，后端容易犯的错误是：

1）对id的check，即该id能否获取到Product，不能获取到的情况下的处理（null，try catch异常处理），否则容易抛null异常。

2）仍然是id的check，但check的是该id是否是当前用户user下的product_id，如果不做该check，那用户可能通过直接修改url后的参数信息

来获取别人的相关信息，如果能修改那就麻烦大了。这是一个很严重的问题。