【发布时间】:2010-10-22 20:23:42
【问题描述】:
我经常遇到通过选择框等表单公开内部数据库主键的 Web 应用程序。有时我会看到 javascript 与切换逻辑的 int 或 guid 魔术值匹配。
最好的做法是避免泄露 Web 应用程序中行的所有内部标识符,以防止外人过多地了解您的系统并可能使用它来利用您的系统。如果是这样,解决此问题的最佳方法是什么?
您是否应该向 Web 应用程序公开一些其他可以转换回主键的值?
谢谢
编辑
在一个完美的世界中,您的应用程序将是 100% 安全的,因此即使您隐藏了某些东西也没关系。显然情况并非如此,所以我们是否应该谨慎起见而不公开这些信息?
有人指出 Stackoverflow 可能会在 Url 中公开一个键,这可能没问题。但是,企业应用程序的注意事项是否有所不同?
【问题讨论】:
标签: security database-design architecture web-applications data-modeling