首頁猿問把主鍵暴露在URL中是好的選擇嗎？

把主鍵暴露在URL中是好的選擇嗎？

MySQL Django 安全

慕絲7291255 2018-10-05 17:26:40

Django為每個表自動生成了id字段，但這個問題跟Django聯(lián)系不大。假設有一個Article表，包含主鍵，那么我在url訪問時直接使用該表的主鍵id，從安全性和性能方面考慮，這樣好嗎？比如說，Article表中有一條記錄，id為10051，而網址http://example.com/article/10051來顯示該文章。這樣做能方便用戶訪問，因為知道某個文章的id，可以猜測其他文章的id來訪問不同文章，但是直接把主鍵暴露在url中，會不會讓黑客很容易能猜到數(shù)據(jù)庫的結構從而引起安全方面的問題。這樣的應用場景，有沒有什么要注意的或者一般方案呢？

查看完整描述

2 回答

一只斗牛犬

TA貢獻1784條經驗獲得超2個贊

太少的信息也不會引起猜測表結構

反對回復 2018-10-14

DIEA

TA貢獻1820條經驗獲得超2個贊

并沒有什么不妥的地方。但是要考慮場景。比如電商系統(tǒng)中，如果查看訂單號，把自增主鍵暴漏了，那無疑是暴露了平臺的銷售情況，給競爭對手來說無疑是絕好的資料。但是至于安全方面卻沒有什么值得注意的地方，無非還是防止注入什么的。再比如多用戶博客系統(tǒng)，暴漏id那就無疑暴漏了平臺的總注冊用戶數(shù)、總文章數(shù)、總發(fā)帖、評論回復數(shù)等。同樣也對安全沒有什么影響。

反對回復 2018-10-14