Как избежать доступа к моей базе данных?

Question

У меня есть видео-сайт, и я беспокоюсь о том, что кто-нибудь пишет сценарий, который извлекает всю мою базу данных и использует его, потому что я использую идентификатор видео в адресе в качестве строки запроса для указания каждой страницы, которое должно отображаться на видео.

Пример:

http://example.com/video/215/videotitle 

215 мой идентификатор видео и videotitle это название моего видео, я хочу иметь что-то вроде YouTube:

www.youtube.com/watch?v=__zj6ibrq04 

Как я могу это сделать? Я должен упомянуть, что я использовал mod_rewrite, чтобы получить такой адрес, поэтому я абсолютно беспокоюсь о том, что кто-то извлекает мою базу данных, потому что они могут знать идентификатор видео.

Это ужасно, потому что id - это первичный ключ с автоматическим добавлением в моей базе данных !!! Есть ли предложение?

Answer 1

Если все ваши страницы общественности, то есть любой человек может перейти на любой сайт в любое время, есть только одна вещь, которую вы можете сделать против бота автоматически очищая ваш сайт: обнаружить соскабливания поведение и душить его. Это означает, что вам нужно отслеживать каждого посетителя по IP-адресу и/или другим характеристикам и начинать отказывать им в доступе, если они начинают запрашивать слишком много страниц в течение определенного временного окна. Нет, это не так.

В этом случае не имеет значения, как выглядят ваши URL-адреса; вы можете подумать, что URL-адреса YouTube «неопровержимы», но (большинство) видео YouTube полностью открыты и могут быть обнаружены при просмотре первой страницы YouTube. Нет необходимости угадывать URL-адрес, это неуместная деталь. И даже если бы они не были, вы могли бы просто попробовать каждый URL-адрес от __aaaaaaaa прогибать __9999999. Это займет некоторое время, но это возможно.