大多数使用自动增量主键的站点都会在URL中公开显示它。一般总是一个好主意总是哈希唯一标识符的URL?
即
example.org/?id=5
这使得它很容易让任何人都可以蜘蛛网站,并通过简单地增加id的值收集所有的信息。我可以理解,在某些情况下,如果权限/身份验证设置不正确,任何人都可以通过简单猜测身份识别码来查看任何内容,但在某些情况下这是不好的事情,但它是否是好的的事?
example.org/?id=e4da3b7fbbce2345d7772b0674a318d5
是否有过在那里散列ID以防止爬行形势不好的做法(除了丢失需要设置此功能的时间)?或者这是一个有争议的话题,因为通过在网络上放置东西来接受被盗/被开采的风险?
是的,使用MD5作为整数ID与使用整数ID相同,因为这两者之间有一个很好的一对一的对应关系。一个足够积极的用户可以拿出一个彩虹表(http:// www。freerainbowtables.com/en/tables/md5/),并使用MD5s而不是整数破解你的网址。 – Seth 2009-11-17 22:47:18