我正在使用GET方法從數據庫中檢索數據。我正在使用Mysql DB和PHP來檢索數據。我的URL看起來像這樣在URL中公開自動遞增ID是否安全
"http://localhost/test/index.php?prop_id=1&location_id=1"
"prop_id" is my auto increment field in my database "property" table
難道任何一個你告訴我,這是安全與否。還告訴我最好的做法..
感謝
「最佳實踐」因程序員,程序員和公司而異。在思考安全性時使用的一個好的調查方法是,將所有可以做的事情看作是黑客,傻瓜用戶或穿過鍵盤的貓可以做的事情。就你而言,你正在給別人訪問其他數據記錄的好方法。
這是安全嗎?這取決於你的代碼以及你的網站是如何實現的。某人能夠看到每條記錄可以嗎?如果他們這樣做,他們是否可以更改,刪除或以其他方式損害別人的數據?
加密或編碼的id是一個想法,但是你只是減少了訪問它的方便性。有時候手中有足夠時間的人可能仍然可以訪問數據,這可以回到前一段中的觀點。
考慮使用諸如Post,會話變量或其他東西而不是querystring/Get變量。
這是一個很好的解釋,我感謝你的時間..非常感謝,我會考慮這樣做.. – user2981233
沒有,沒有人能告訴你是否安全或不安全,因爲你給了我們絕對沒有合作的背景。
如果人們可以向ID添加一個並查看下一個記錄,這有什麼關係嗎?
如果否,則安全。
如果是的話,這是不安全的。
感謝您的回答。 – user2981233
如果我加密我的ID,該怎麼辦..仍有可能讓某人得到實際的ID – user2981233
您仍然沒有回答是否很重要,因爲您的ID不可猜測。如果*很重要,否則加密與解決方案無關。只需使用不可猜測的ID。 – meagar
如果安全問題值得關注,您應該使用POST –