[Cascavel-pm] Tempo com centesimos, mili e nano segundos
Nilson Santos Figueiredo Junior
acid06 em gmail.com
Segunda Agosto 20 13:26:41 PDT 2007
On 8/20/07, Marcio Ferreira <mmmferreira em gmail.com> wrote:
> Meu ponto é evitar que os dados possam ser facilmente acessados simplesmente
> mudando o id do registro sendo acessado através da URL (metodo GET), ou até
> mesmo que usem Robôs para isso (metodo POST).
> Se for um incremento (1, 2, 3, 4, ...) fica muito fácil. entendeu?
Por isso você deve implementar um controle de acesso adequado ao invés
de confiar em práticas de "security through obscurity". Usar um ID não
seqüencial por causa disso é uma tremenda violação de camadas e que
não faz nada para atingir o seu objetivo real, trata-se apenas de um
"remendo".
Se os dados são realmente públicos, não existe problema algum em
qualquer pessoa ver apenas alterando os números seqüencialmente. Por
outro lado, se os dados são privados, as pessoas não deveriam poder
acessar a página sem autorização mesmo que "acertassem" a URL.
-Nilson Santos F. Jr.
Mais detalhes sobre a lista de discussão Cascavel-pm