gpt4 book ai didi

mysql - 如果用户知道项目的主键 ID,从安全角度来看这是不好的做法吗

转载 作者:行者123 更新时间:2023-11-29 12:18:30 25 4
gpt4 key购买 nike

我正在使用数据库中的项目列表填充页面(假设 main.htm - 每个项目都有一个链接,打开链接将显示该项目的内容。

我正在使用ajax打开项目。出于性能原因,我已将其 ID 的数据属性添加到 main.htm 中的每个项目中。因此,如果 main.htm 列出了 15 个项目,则每个项目都会有一个 data-id,例如项目 1 的 data-id =1,项目 2 的 data-id=2

和data-id将对应数据库中的ID列(主键)。

从安全角度来看,这是一种不好的做法吗?如果是,为什么?

或者更好的做法是加密数字并分配加密的 id,而不是 id,例如 xY4lf3K,它将在数据库中解密为 1000

最佳答案

这不应该是一种不安全的方式,只要您记住:

  1. 始终转义并验证用户输入(请记住,$_GET 参数是用户输入,而不仅仅是 $_POST);
  2. 如果 ID 标识的资源适用于特定用户,请检查该用户是否正在访问该资源。

否则,没有问题。

关于mysql - 如果用户知道项目的主键 ID,从安全角度来看这是不好的做法吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29380242/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com