在symfony's tutorial这里,它说:
隐藏所有ID
symfony的另一个好习惯 行动就是避免那么多 可以传递主键作为 请求参数。这是因为 我们的主要关键是 自动增量,这给了 关于黑客的太多信息 数据库的记录。
为什么会这样?它是否适用于所有网络应用程序?
答案 0 :(得分:0)
公开密钥是潜在的内部直接对象参考风险。实质上,它表示如果密钥符合可预测的模式,它们可能会在攻击中用于攻击您。当然,其他安全层应该阻止他(特别是适当的授权),但它只是一层安全。该概念与所有暴露内部密钥的应用程序相关。
有关详细信息,请参阅OWASP Top 10 for .NET developers part 4: Insecure direct object reference。