Задать вопрос
@mletov
веб-разработка

Передавать ли в url реальный ID?

Возник у нас тут с коллегой спор
Есть сайт со стандартными адресами детальных страниц типа mysite/item/123, где 123 - айдишка записи в базе.

Коллега сказал, что так делать очень плохо, люди не должны знать, что страница с этой записью имеет именно такой id.
Мотивировал тем, что:
1) Это небезопасно, нас могут взломать
2) Работодатель нас может наказать юридически, т к таким образом мы обнародуем часть внутреннего интерфейса сайта.

Я, конечно, посмеялся в голос и изошелся на сарказм. Но потом задумался, может я чего не понимаю и люди вправду заводят в таблице 2 поля с автоинкрементом, одно публичное, только затем, чтобы показывать пользователям в url адресе или отдавать партнерам по API, а другое реальное, видное только разработчикам, для установки связей с другими таблицами.
  • Вопрос задан
  • 188 просмотров
1 комментарий
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
Stalker_RED
@Stalker_RED
Коллега прав, это немножко раскрывает структуру приложения и потенциально облегчает взлом.
Работодатель наказать может только если прописано, это верно.

Тем кто пишет агрументы типа "вконтактик так делает и ничо" могут немного погуглить, посмотреть сколько во вконтактике находили дырок за всю историю. И некоторые из этих дырок включали в себя использование "общеизвестных id", внезапно. (1, 2)

С другой стороны, довольно сложно сделать взаимодействие с сервером вообще без использования каких-то идентификаторов, или используя уникальные одноразовые токены. Заморачиваться с этим стоит только в том случае, если вам за это будут приплачивать.
Ответ написан
Комментировать
Комментировать
VELIK505
@VELIK505
Руководитель департамента profitcentr.com
А как взломать то? Вк светит реальный id юзера и что? Всю жизнь делал так и всё норм. Ну конечно если ты не обрабатываешь его то тут уже хоть его хоть левый свети всё равно ломанут.
В чём секретность то? Ну будет у тебя не id а допустим заменишь на mysite/item/corei7vsryzen7 такая же секретность=))) То есть никакой=)) Если код норм написан без багов то какая разница светишь ты или нет? А если с багами то и секретность не поможет.
Работодатель нас может наказать юридически, т к таким образом мы обнародуем часть внутреннего интерфейса сайта.

Чта?=))))
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Веб-дизайнер
Stakewolle
от 40 000 до 60 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка VST-плагина
19 апр. 2024, в 20:43
20000 руб./за проект
Нарисовать баннер для интернет-магазина
19 апр. 2024, в 20:35
500 руб./в час
Разработать несистемный алерт
19 апр. 2024, в 20:11
500 руб./за проект
Ещё заказы