@akira 理论上是这样，但是实操是另外一回事。你数据库表设计范式全遵守了？

平权漏洞和是否返回给前端没有关系，而是应该做好权限校验。指望通过不告诉别人来解决漏洞，就好比“自研”各种加密算法，指望通过算法的保密来保证安全性。

别总觉得国外的月亮圆，信用卡数据这么多公司泄露了，哪个关门了？

另外举一个具体的例子，获取用户信息。一个常见的，也是许多人口中偷懒的例子是直接一个 select * （当然，过滤掉诸如密码之类的敏感字段）作为一个 API ，前端自己去选取需要的信息。另外一个是根据每一个业务场景分别去做一个 API 。当然，还有 graphql 这种解决方案。我并不认为第一种方案一定是不好的。

我来帮忙翻译一下上面的网址（顺便看看我有没有学会评论区发图这个技能了

https://i.imgur.com/OnnY2tn.png

一般当一个软件标榜自己金融级的时候，我会预期它有极高的安全性和稳定性，以及至少满足及格线的性能。

事实上一般这么说的都是忽悠外行的营销术语，如果想向我说明上面几点我更期望看到具体的数字而非金融级这种描述。

@jin5354 卷是贬义。但努力和上进的定义是很宽泛的。提高工作效率当然是，但（在中国，乃至东亚的语境下）加班不也是吗？

另外虽然不少人提议润，但要明白人力成本高涨不仅代表你自己的价格涨了，你平时看不上眼的很多服务都会贵的离谱，例如餐厅吃饭、外卖、水电维修等等。外国人动手能力强科不仅仅是因为他们对此感兴趣。。。

如果本身接口就是简单的 CRUD ，为啥我觉得除了潜在的安全风险（敏感字段，例如密码之类的。但这也只要配置一个黑名单）以外这么做没啥问题？除了浪费了一点流量。上面还有人提字段名泄露啥的，改个名掩耳盗铃吗？又是真有一个注入点，想要拖数据的还需要在乎你有没有泄露字段？现在都是自动化工具了。

一个穿阿迪的会觉得买个称贵。。。