Cha*_*aim 3 php mysql security auto-increment
将实际ID(由数据库自动递增)显示给用户是否存在安全风险?你能举出一些人们可以用它做什么危险的实际例子吗?
不,它在许多情况下使用.
如果您的网站以其他方式易受攻击,例如SQL注入或XSS,他们可能会将id用于有害的内容.但从来没有单独的id.
只需在此处查看您的个人资料,您的ID就是243414
我不知道向用户公开行 id 本质上是不安全的。几乎所有 Web 框架都会在某个时候执行此操作。
使用递增的整数 id 会公开有关基础数据的一些信息。最重要的是,它们通常是连续的,因此潜在的攻击者可以预测可能有效的 ID。但是,如果您允许用户从您的应用程序请求数据以获取他可能无权查看的 ID,那么您的应用程序可能存在更大的安全问题。如果您正确地限制了访问,或者不需要限制对记录数据的访问,那么暴露 ID 不会造成太大(如果有)风险。