请问Article表把主键暴露在URL中好吗?,articleurl,Django为每个表自动
请问Article表把主键暴露在URL中好吗?,articleurl,Django为每个表自动
Django为每个表自动生成了id字段,但这个问题跟Django联系不大。
假设有一个Article表,包含主键,那么我在url访问时直接使用该表的主键id,从安全性和性能方面考虑,这样好吗?比如说,Article表中有一条记录,id为10051,而网址http://example.com/article/10051来显示该文章。
这样做能方便用户访问,因为知道某个文章的id,可以猜测其他文章的id来访问不同文章,但是直接把主键暴露在url中,会不会让黑客很容易能猜到数据库的结构从而引起安全方面的问题。
这样的应用场景,有没有什么要注意的或者一般方案呢?
使用UUID。
你的担心,主要在防范黑客入侵上面。
为什么不找找这方面的资料?
例如: PPTP、L2TP、SSL、...?
太少的信息也不会引起猜测表结构
来一次加随机盐的hash不就行了,随机盐直接明文保存在客户端session里就行了。
并没有什么不妥的地方。但是要考虑场景。比如电商系统中,如果查看订单号,把自增主键暴漏了,那无疑是暴露了平台的销售情况,给竞争对手来说无疑是绝好的资料。但是至于安全方面却没有什么值得注意的地方,无非还是防止注入什么的。再比如多用户博客系统,暴漏id那就无疑暴漏了平台的总注册用户数、总文章数、总发帖、评论回复数等。同样也对安全没有什么影响。
如果是公开的问题不大的。但是如果是涉及权限,例如 id A不能被用户x 看到,那么就需要注意,因为用户可以通过改动id来跳转到不同的文章(暂且这么叫)
编橙之家文章,
相关内容
- 求解决pip安装python库下载超时的有效方法,pippython,如题
- 用socket来搭建一个TCP的服务端啊,怎么才可以搭建?,
- 求python大牛帮看看这道简单的算法题如何巧解,python大
- Python表单是交给前端处理还是struts2处理好?,pythonst
- mysql重复数据表如何根据字段去重的问题,mysql重复数据
- Python什么方法可以避免重复抓取同一网页,python抓取
- Python Scrapy Unicode编码转换UTF-8问题,scrapyutf-8,关于Pyth
- 如何将大数据量的文本文件,按照条件完成多行合并的
- Python应该如何开发聊天模块,python开发模块,后台全py
- Python语言中"i += x"与"i = i + x&q
评论关闭