避免 BIGINT 用户资料收集
Avoid BIGINT user profile harvesting
使用 GUID 而不是 BIGINT 作为用户配置文件的主键的优势之一是使用一系列 GET 请求收集用户配置文件要困难得多。当您使用顺序 GUID 时,您会失去一些 GUID 的附加安全性,因为下一个使用的 GUID 变得有些可预测。
那么在使用 BIGINT 时如何避免这个问题,因为它们是高度可预测的?
以下之一:
- 在会话中存储 ID 而不是查询字符串
- 加密ID并在查询字符串中传递加密值(对于MVC,你甚至可以这样做seamless too)
- 改为传入名称,并始终使用名称转换为 ID
使用 GUID 而不是 BIGINT 作为用户配置文件的主键的优势之一是使用一系列 GET 请求收集用户配置文件要困难得多。当您使用顺序 GUID 时,您会失去一些 GUID 的附加安全性,因为下一个使用的 GUID 变得有些可预测。
那么在使用 BIGINT 时如何避免这个问题,因为它们是高度可预测的?
以下之一:
- 在会话中存储 ID 而不是查询字符串
- 加密ID并在查询字符串中传递加密值(对于MVC,你甚至可以这样做seamless too)
- 改为传入名称,并始终使用名称转换为 ID