मैंने सुना है कि डेटाबेस आईडी (उदाहरण के लिए URL) को उजागर करना एक सुरक्षा जोखिम है, लेकिन मुझे यह समझने में परेशानी हो रही है कि क्यों।
किसी भी राय या लिंक पर यह जोखिम क्यों है, या यह क्यों नहीं है?
संपादित करें: यदि आप संसाधन नहीं देख पा रहे हैं, तो निश्चित रूप से पहुँच को बंद foo?id=123
कर दिया गया है, आपको एक त्रुटि पृष्ठ मिलेगा। अन्यथा URL स्वयं गुप्त होना चाहिए।
EDIT: यदि URL गुप्त है, तो इसमें संभवतः एक उत्पन्न टोकन होगा, जिसका जीवनकाल सीमित है, उदाहरण के लिए 1 घंटे के लिए मान्य है और केवल एक बार उपयोग किया जा सकता है।
EDIT (महीने बाद): इसके लिए मेरा वर्तमान पसंदीदा अभ्यास आईडी के लिए UUIDS का उपयोग करना और उन्हें उजागर करना है। अगर मैं अनुक्रमिक संख्याओं (आमतौर पर कुछ DBs पर प्रदर्शन के लिए) का उपयोग कर रहा हूं, तो आईडी के रूप में मैं एक वैकल्पिक कुंजी के रूप में प्रत्येक प्रविष्टि के लिए एक UUID टोकन बनाना पसंद करता हूं, और उस का पर्दाफाश करता हूं।