私はしばしば、内部データベースのプライマリキーを選択ボックスのようなフォームを通して公開するWebアプリケーションに出くわします。そして、時々、ロジックを切り替えるintまたはguidのマジック値とのjavascriptのマッチングを参照します。ウェブアプリケーションのソースにプライマリキーを公開しないようにしますか?
Webアプリケーションの行の内部識別子をすべて漏らさないようにして、外部の人がシステムを理解しすぎてシステムを悪用しないようにすることをお勧めします。もしそうなら、この問題を解決する最良の方法は何ですか?
ウェブアプリケーションに他の値を公開して、主キーに戻すことはできますか?
おかげ
編集
完璧な世界では、あなたが物事を隠さ場合、それは問題ではないように、あなたのアプリケーションは、100%安全であるでしょう。明らかにそれは事実ではありませんので、私たちは注意の側面で間違いを犯し、この情報を公開してはいけませんか?
StackoverflowがおそらくUrlのキーを公開している可能性が高いと指摘している人がいます。ただし、エンタープライズアプリケーションの考慮事項は異なりますか?
+1私は同意します。何かのIDを表示しないようにするために、任意の値を使用すると、セキュリティスルー難読化(せいぜい)があります。あなたのセキュリティは、値を偽ったユーザーを拒否するのに十分強くなければなりません。 – nickf
...グリッドを生成するために使用されるテーブルの行を表すDBから得られたPKについてはどうでしょうか? – JPCF
@nickfパスワードを平文の代わりにハッシュとして 'security-through-obfuscation'として保存することを検討しますか? – Medorator