老大,个人觉得,密码最好不要传明文的,就算是在https上,直接在页面上就腌了 -- 加salt
这样,自己的日志漏了,也没什么法律责任
obj.password vs. obj._data['password']
两个没本质区别
再原教旨主义一点,def getPassword:
那小小的一点区别也看不到了
【 在 KeepHope 的大作中提到: 】
: 那不就恶心了么
: 比如针对user的一个方法
: 比如用户传过来的明文密码,跟db存的hash做校验;又比如拿user id生成带时效的token
: ...................
--
FROM 52.9.227.*