Лучшая реализация ID ID

Question

Я пытаюсь найти хороший способ избежать прямого использования идентификаторов в URL-адресах для поиска записей в таблице. Основная причина заключается в том, что по соображениям конфиденциальности я не хочу, чтобы мои пользователи могли просто изменить, скажем, /? Unique_id = 10 на /? Unique_id = 11 и посмотреть чужую информацию.

Я заметил, что многие сайты используют случайно генерируемые строки, но какова наилучшая структурная реализация чего-то подобного?

Спасибо!

О, и я сомневаюсь, что это важно, но я использую PHP.

EDIT: Информация, содержащаяся на страницах, является общедоступной. То есть любой, у кого есть ссылка, должен иметь доступ к странице без проблем. То, что я хочу предотвратить, - это люди, которые просто повторяют идентификаторы и видят все в базе данных. Я предпочитаю, чтобы только люди, которым была предоставлена ​​ссылка, открыли страницу. Тем не менее, это не громадная проблема, если случайный человек наткнулся на нее.

Кроме того, я не хочу, чтобы люди, смотрящие на идентификатор, выяснили, сколько всего записей.

Answer 1

Возможно, вам нужна какая-то проверка пользователей, чтобы убедиться, что люди arent видят записи других людей в любом случае, но использование GUID для этого - хорошее начало.

Вы можете использовать хэш чего-то типа record1, record2 и т. Д., Но определенный хакер может легко это сделать.

Другой вариант - использовать псевдонимы записи, чтобы каждая запись имела строку, которая представляет ее, которую вы затем используете в качестве ключа. Вы часто видите это в Wordpress или других системах CMS.

Так что, если ваш идентификатор относится к сообщению, может быть, принять титул и заменить пробелы с -

например. www.example.com/article.php?id=Summer-is-the-best-time-of-year

Answer 2

вы можете зашифровать их, используя md5 (id), и выполнить поиск записи, имеющей тот же md5 (id) т.е.

select * from table where md5(id) = '$encrypted' 

Answer 3

Вы не должны были иметь дело с этим на уровне URL. Вы просто позаботитесь об этом на сессии, поэтому, если пользователь 123 попытается получить доступ к вашему сайту.com/unique_id=456, проверка сеанса помешает ему это сделать. Я имею в виду, что вы говорите о частных страницах, не так ли?

Даже если вы закодировать его (идентификатор пользователя) будет доступен в виде хэша или нечто такое, что не было бы ничего более запутывания, которые не так хорошо, как предотвращение доступа по своему усмотрению (с сессией)

Answer 4

Почему бы не использовать вызовы AJAX для любых запросов к БД, а не включать их в URL $ _GET.

Answer 5

Я использовал функцию MySQL UUID() для этого, но вы должны обязательно использовать проверку разрешений, чтобы пользователи не могли просматривать данные для других пользователей.

This answer показывает просто, как создать уникальный идентификатор.