﻿1.每一个类一个Controller;
2.每个Controller的查询参数应单独获取或使用实体时进行有限定获取，不应不受限的接受全部实体字段，此行为保证请求的安全，防止人为拼接查询参数;
3.所有的更新均应使用Post方式，不应使用Get进行数据的更新，系统自动记录Post表单数据为操作日志