我正在使用GET方法从数据库中检索数据。我正在使用Mysql DB和PHP来检索数据。我的URL看起来像这样在URL中公开自动递增ID是否安全
"http://localhost/test/index.php?prop_id=1&location_id=1"
"prop_id" is my auto increment field in my database "property" table
难道任何一个你告诉我,这是安全与否。还告诉我最好的做法..
感谢
“最佳实践”因程序员,程序员和公司而异。在思考安全性时使用的一个好的调查方法是,将所有可以做的事情看作是黑客,傻瓜用户或穿过键盘的猫可以做的事情。就你而言,你正在给别人访问其他数据记录的好方法。
这是安全吗?这取决于你的代码以及你的网站是如何实现的。某人能够看到每条记录可以吗?如果他们这样做,他们是否可以更改,删除或以其他方式损害别人的数据?
加密或编码的id是一个想法,但是你只是减少了访问它的方便性。有时候手中有足够时间的人可能仍然可以访问数据,这可以回到前一段中的观点。
考虑使用诸如Post,会话变量或其他东西而不是querystring/Get变量。
这是一个很好的解释,我感谢你的时间..非常感谢,我会考虑这样做.. – user2981233
没有,没有人能告诉你是否安全或不安全,因为你给了我们绝对没有合作的背景。
如果人们可以向ID添加一个并查看下一个记录,这有什么关系吗?
如果否,则安全。
如果是的话,这是不安全的。
感谢您的回答。 – user2981233
如果我加密我的ID,该怎么办..仍有可能让某人得到实际的ID – user2981233
您仍然没有回答是否很重要,因为您的ID不可猜测。如果*很重要,否则加密与解决方案无关。只需使用不可猜测的ID。 – meagar
如果安全问题值得关注,您应该使用POST –