最佳 URL ID 实施

Question

我试图想出一种避免直接在 URL 中使用 ID 来查找表条目的好方法。主要原因是出于隐私原因，我不希望我的用户能够简单地将 /?unique_id=10 更改为 /?unique_id=11 并查看其他人的信息。

我注意到许多网站都使用随机生成的字符串，但是这样的最佳结构实现是什么？

谢谢！

哦，我怀疑这很重要，但我使用的是 PHP。

编辑： 页面上包含的信息是公共信息。也就是说，任何拥有该链接的人都应该能够毫无问题地访问该页面。我想要阻止的是人们简单地遍历 ID 并查看数据库中的所有内容。我更喜欢只有获得链接的人才能访问该页面。也就是说，如果一个随机的人偶然发现它，这不是一个大问题。

另外，我不希望人们通过查看 ID 来确定总共有多少条目。

Answer 1

您可能需要某种用户检查以确保人们无论如何都看不到其他人的记录，但为此使用 GUID 是一个好的开始。

您可以使用记录 1、记录 2 等的哈希值，但有决心的黑客可以轻松做到这一点。

另一种选择是使用记录别名，这样每条记录都有一个代表它的字符串，然后您将其用作键。您经常在 wordpress 或其他 CMS 系统中看到这一点。

因此，如果您的 id 指的是帖子，则可以使用标题并将空格替换为 -

例如。 www.example.com/article.php?id=Summer-is-the-best-time-of-year

Answer 2

您可以使用 md5(id) 加密它们并搜索具有相同 md5(id) 的记录 即

select * from table where md5(id) = '$encrypted'

Answer 3

您不必在 url 级别处理它。您只需在会话中处理此问题，因此如果用户 123 尝试访问 yoursite.com/unique_id=456，会话检查将阻止他执行此操作。我的意思是你在谈论私人页面，不是吗？

即使您对它（用户 ID）进行编码，它也可以作为散列或其他东西进行访问，这只不过是混淆，不如阻止您自己（通过会话）访问

Answer 4

为什么不对数据库的任何查询使用 AJAX 调用，而不是将它们包含在 URL $_GET 中。

Answer 5

我为此使用了 MySQL 的 UUID() 函数，但您绝对应该使用权限检查来确保用户无法查看其他用户的数据。

This answer 简单展示了如何创建唯一标识符。