如果用户能够知道项目的主键id，那么从安全性的角度看，这是否是一种糟糕的做法？

Question

我正在用DB的项目列表填充页面(假设是main.htm -每个项目都有一个链接，打开链接将显示项目的内容)。

我正在使用ajax打开项目。出于性能原因，我在main.htm中的每个项中添加了它们的ID的数据属性。因此，如果main.htm有15个列出的项，那么每个项都有一个数据id，例如，项目1有data-id =1，条目2有data-id=2。

而data-id将对应于数据库中的ID列(主键)。

这是个糟糕的做法吗，从安全角度来说？如果是，为什么？

还是更好的做法是加密数字，而不是id，分配加密的id，例如xY4lf3K，它将解密为DB中的1000。

Answer 1

这不应该是一种不安全的方式，只要你记住：

1. 始终转义和验证用户输入(记住，$_GET param是用户输入，而不仅仅是$_POST)；
2. 如果ID标识的资源是特定用户的资源，请检查是否是访问它的用户。

否则，就没问题了。