Задать вопрос
@mletov
веб-разработка

Передавать ли в url реальный ID?

Возник у нас тут с коллегой спор
Есть сайт со стандартными адресами детальных страниц типа mysite/item/123, где 123 - айдишка записи в базе.

Коллега сказал, что так делать очень плохо, люди не должны знать, что страница с этой записью имеет именно такой id.
Мотивировал тем, что:
1) Это небезопасно, нас могут взломать
2) Работодатель нас может наказать юридически, т к таким образом мы обнародуем часть внутреннего интерфейса сайта.

Я, конечно, посмеялся в голос и изошелся на сарказм. Но потом задумался, может я чего не понимаю и люди вправду заводят в таблице 2 поля с автоинкрементом, одно публичное, только затем, чтобы показывать пользователям в url адресе или отдавать партнерам по API, а другое реальное, видное только разработчикам, для установки связей с другими таблицами.
  • Вопрос задан
  • 209 просмотров
1 комментарий
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
Stalker_RED
@Stalker_RED
Коллега прав, это немножко раскрывает структуру приложения и потенциально облегчает взлом.
Работодатель наказать может только если прописано, это верно.

Тем кто пишет агрументы типа "вконтактик так делает и ничо" могут немного погуглить, посмотреть сколько во вконтактике находили дырок за всю историю. И некоторые из этих дырок включали в себя использование "общеизвестных id", внезапно. (1, 2)

С другой стороны, довольно сложно сделать взаимодействие с сервером вообще без использования каких-то идентификаторов, или используя уникальные одноразовые токены. Заморачиваться с этим стоит только в том случае, если вам за это будут приплачивать.
Ответ написан
Комментировать
Комментировать
VELIK505
@VELIK505
Руководитель департамента profitcentr.com
А как взломать то? Вк светит реальный id юзера и что? Всю жизнь делал так и всё норм. Ну конечно если ты не обрабатываешь его то тут уже хоть его хоть левый свети всё равно ломанут.
В чём секретность то? Ну будет у тебя не id а допустим заменишь на mysite/item/corei7vsryzen7 такая же секретность=))) То есть никакой=)) Если код норм написан без багов то какая разница светишь ты или нет? А если с багами то и секретность не поможет.
Работодатель нас может наказать юридически, т к таким образом мы обнародуем часть внутреннего интерфейса сайта.

Чта?=))))
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Fullstack разработчик для веб-проектов
Asphera Tech
от 25 000 ₽
Fullstack разработчик (JavaScript, PHP, SQL), веб программист.
CleanTalk
от 1 800 $
Разработчик Drupal ( программист php 7 )
IT House
от 80 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Электронные визитки .vcf с QR кодом
24 нояб. 2024, в 17:52
3000 руб./за проект
Деплой приложения
24 нояб. 2024, в 16:14
1000 руб./за проект
Написать запросный бот парсер поиска с функцией автоматической записи
24 нояб. 2024, в 15:21
120000 руб./за проект
Ещё заказы