@mletov

Передавать ли в url реальный ID?

Возник у нас тут с коллегой спор
Есть сайт со стандартными адресами детальных страниц типа mysite/item/123, где 123 - айдишка записи в базе.

Коллега сказал, что так делать очень плохо, люди не должны знать, что страница с этой записью имеет именно такой id.
Мотивировал тем, что:
1) Это небезопасно, нас могут взломать
2) Работодатель нас может наказать юридически, т к таким образом мы обнародуем часть внутреннего интерфейса сайта.

Я, конечно, посмеялся в голос и изошелся на сарказм. Но потом задумался, может я чего не понимаю и люди вправду заводят в таблице 2 поля с автоинкрементом, одно публичное, только затем, чтобы показывать пользователям в url адресе или отдавать партнерам по API, а другое реальное, видное только разработчикам, для установки связей с другими таблицами.
  • Вопрос задан
  • 170 просмотров
Пригласить эксперта
Ответы на вопрос 2
Stalker_RED
@Stalker_RED
Коллега прав, это немножко раскрывает структуру приложения и потенциально облегчает взлом.
Работодатель наказать может только если прописано, это верно.

Тем кто пишет агрументы типа "вконтактик так делает и ничо" могут немного погуглить, посмотреть сколько во вконтактике находили дырок за всю историю. И некоторые из этих дырок включали в себя использование "общеизвестных id", внезапно. (1, 2)

С другой стороны, довольно сложно сделать взаимодействие с сервером вообще без использования каких-то идентификаторов, или используя уникальные одноразовые токены. Заморачиваться с этим стоит только в том случае, если вам за это будут приплачивать.
Ответ написан
Комментировать
VELIK505
@VELIK505
Руководитель департамента profitcentr.com
А как взломать то? Вк светит реальный id юзера и что? Всю жизнь делал так и всё норм. Ну конечно если ты не обрабатываешь его то тут уже хоть его хоть левый свети всё равно ломанут.
В чём секретность то? Ну будет у тебя не id а допустим заменишь на mysite/item/corei7vsryzen7 такая же секретность=))) То есть никакой=)) Если код норм написан без багов то какая разница светишь ты или нет? А если с багами то и секретность не поможет.
Работодатель нас может наказать юридически, т к таким образом мы обнародуем часть внутреннего интерфейса сайта.

Чта?=))))
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы