في laravel استخدمت cursorPaginate و عندما استخدمت orderby(id) يسوي حق الصفحة القادمة encode حق المعلومات الي بيبدا فيها و جربت اسوي decode في احد المواقع و اظهر لي id حق الصف. هل يعتبر غير امن معرفة id ام يكون اعتمادا على نوع المشروع؟
معرفت id يعتبر شيء خطر؟
لا يعتبر ثغرة إذا كنت تطبق الخطوات المطلوبة لحماية تطبيقك . فالخطر الحقيقي ليس في "معرفة" الـ ID، بل في "القدرة على استخدامه" بدون صلاحية. فالمستخدم عرف أن هناك طلب رقم 50. حاول الدخول عليه، فرفض النظام وأعطى خطأ 403 Forbidden لأنك تحققت من الصلاحيات هنا النظام آمن حتى لو كشف الـ ID.
التعليقات