0
0
テーマ、知りたいこと
AUTO_INCREMENTはセキュリティ上問題になることもある?
背景、状況
就職活動に使うポートフォリオとして、サイトを作成しています。
その中で、管理者用のユーザー管理システムを作ってる最中です。
最初は、テーブルのキーをIDとして、AUTO_INCREMENTを利用してましたが、ある書籍を
読んだところ、画面に渡すGETパラメータとして利用する場合、URLで見えてしまうため、
推測されやすいのが問題になるかもしれないとの事です。
<例>http://example.com/show-profile.php?id=2
(末尾のID=2の部分です。)
そこで、調査したところ、ID生成方法にUUIDという方式があることを知りましたが、
大量データになるとパフォーマンスが劣化するとのことで、それを解決するのが、
ULIDということを知りました。
<参考>
https://zenn.dev/j5ik2o/articles/a085ab3e3d0f197f6559
しかしながら、Google検索でULIDとしても情報が少なく、やってみるのが少し怖いです。
(その前に手順も見つかりません。)
通常、AUTO_INCREMENTでもそれほど問題にならないものでしょうか。
意見をお聞かせください。
回答2件
#1
総合スコア116720
投稿2023/06/08 08:33
AUTO_INCREMENTはテーブルのレコードをユニークに特定するときに便利な機能ですからセキュリティに関してはまったく考慮する必要はありません。逆にIDを複雑化したからといってセキュリティが堅牢になることはありませんしIDを特定されたからといって問題はありません。
ログイン時にauto_incrementで発行されたIDを指定することはあまりないでしょう。任意に設定されたユーザー名とポスワードでログインさせてください
#2
総合スコア146018
投稿2023/06/08 12:02
画面に渡すGETパラメータとして利用する場合、URLで見えてしまうため、
推測されやすいのが問題になるかもしれないとの事です。
具体的に、何が問題なのでしょうか。
- もともと誰でも見られるページなら、なんの問題もありません。
- 人によって見られるかが違うページの場合、URLを隠すことで対応するのではなく、きちんと権限制御を組み込んでください。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。