將db項目的ID作爲url參數傳遞是否安全？

Question

在網上發表我的作品之前，如果我所建的作品被接受的做法足夠安全，我在這裏要問你一個結論。

我的客戶端通過項目的ID查詢數據庫;然後它將該URL上的標識傳遞給第二個頁面。 所以，你會碰到這樣的：

mypage.com/pagename?q=#numericID 

的#numericID是一個項目的ID。 我不知道如果該網站是足夠安全的，以防止爬行，如果API只允許在相同的域下，或者如果我應該遵循另一種更正統的做法：餅乾？將應用重新分配爲單頁而不是兩頁 - 首先用於查詢，其次用於結果？ ...？

請諮詢怎麼也重製幀我的問題，引起有關服務器的安全是完全新的東西給我，我不知道我應該看什麼話題。

Answer 1

如果傳遞兩個站點之間的數字ID，可以爲任何人嘗試二號網站上的其他編號的，看看他們得到的。這對任何可預測的ID都是一樣的。

這是否是一個問題，是你來決定，例如，產品的網站，只是顯示了使用ID不同的產品可能會被罰款，如果最終用戶嘗試了不同的ID。或者，如果該ID用於定義當前登錄的用戶，那麼您將遇到嚴重問題。

最簡單的解決後者的情況下是使用隨機ID的。例如UUID's它進來類似於

1176399b-0dfd-4bd1-9266-8d72abb90bd3 

格式分配一個不同的UUID您要跟蹤，並各項目確保兩個服務器知道它們是什麼。有人猜測或爬行備用UUID是非常困難的。然而，惡意最終用戶可能會隨着時間的推移學習它們。

除此之外下一步驟是3D安全類型的系統，其中傳遞到所述第二服務器的UUID是一個時間只並隨後在一個安全通道服務器2和服務器1之間的驗證。