大多數使用自動增量主鍵的站點都會在URL中公開顯示它。一般總是一個好主意總是哈希唯一標識符的URL?
即
example.org/?id=5
這使得它很容易讓任何人都可以蜘蛛網站,並通過簡單地增加id的值收集所有的信息。我可以理解,在某些情況下,如果權限/身份驗證設置不正確,任何人都可以通過簡單猜測身份識別碼來查看任何內容,但在某些情況下這是不好的事情,但它是否是好的的事?
example.org/?id=e4da3b7fbbce2345d7772b0674a318d5
是否有過在那裏散列ID以防止爬行形勢不好的做法(除了丟失需要設置此功能的時間)?或者這是一個有爭議的話題,因爲通過在網絡上放置東西來接受被盜/被開採的風險?
是的,使用MD5作爲整數ID與使用整數ID相同,因爲這兩者之間有一個很好的一對一的對應關係。一個足夠積極的用戶可以拿出一個彩虹表(http:// www。freerainbowtables.com/en/tables/md5/),並使用MD5s而不是整數破解你的網址。 – Seth 2009-11-17 22:47:18