gpt4 book ai didi

java - 在 URL 中公开数据库内部 ID 是一种不好的做法吗?

转载 作者:塔克拉玛干 更新时间:2023-11-03 04:42:08 27 4
gpt4 key购买 nike

在 URL 中公开数据库内部 ID 是一种不好的做法吗?

例如,假设我有一个 users 表,其中每一行都有一些 ID(主键)。公开 URL myapp.com/accountInfo.html?userId=5(其中 5 是实际主键)会被视为“坏事”吗?为什么?

还假设我们正确地防御了 SQL 注入(inject)。

我最感兴趣的是与 Java Web 技术堆栈(因此使用 java 标签)相关的答案,但一般性答案也会很有帮助。

谢谢。

最佳答案

这取决于您解析 URL 的方式。如果你允许盲目的 SQL 注入(inject),那就不好了。您只需验证用户输入的 ID。

Stackexchange 还将行的 ID 放入 URL 中,如您在地址栏中所见。诀窍是解析部分并完成所有可能的 SQL。最简单的方法是检查 id 是否为数字。

关于java - 在 URL 中公开数据库内部 ID 是一种不好的做法吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9904396/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com