 Indeks alfanumeryczny a wydajność |
| Indeks alfanumeryczny a wydajność |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 898 Pomógł: 48 Dołączył: 2.11.2005 Skąd: Poznań Ostrzeżenie: (0%) 
 |
W jednej z aplikacji, w której przetwarza się dane osobowe etc. widziałem dość ciekawy "patent", a mianowicie zamiast standardowych numerycznych ID w tabeli stosowane są losowe ciągi 40 znaków (przypuszczalnie jakieś md5 z randa). Jeśli dobrze rozumiem intencję autora, to chodzi o to, aby w aplikacji współdzielonej dodać dodatkowe zabezpieczenie np. gdy ktoś w swoim profilu edytując rekord, podmieniłby id na inne i zapisał/odczytał czyjeś rekordy. Oczywiście nie jest to jedyne zabezpieczenia, a bardziej przypuszczam takie utrudnienie dla crackerów, aby już na wstępie mili problem w ustaleniu id rekordu, który chcieliby rozpracować.
I teraz pytanie - jak takie id alfanumeryczne ma się do wydajności mysql? Jest duża różnica między id numerycznym a alfanumerycznym np. w zapytaniach typu left join po id, czy np. w wyszukiwaniu rekordów o danych ID itp? Podobny patent chciałbym zastosować również u siebie, bo piszę aplikację, gdzie jest na prawdę spory mix uprawnień i czasami sam się gubię, komu co zablokować w danej akcji. Aplikacja wewnętrzna, więc użytkowników raczej nie podejrzewam o umiejętności hakerskie, ale wiadomo nawet małpa umie podmienić ID w adresie, a tak jak pisałem mix uprawnień jest spory, więc chętnie dodałbym taki dodatkowy element zabezpieczający. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%)
|
Cytat ... Takie dodatkowe zabezpieczenie jest o tyle fajne, że już preparowanie formularza staje się trudniejsze, bo trafienie w 40 znakowy hash jest praktycznie niemożliwe. ... https://en.wikipedia.org/wiki/Security_through_obscurityI tak jak mówi Crozin, ma to znaczenie tylko jeśli chodzi o "ukrywanie informacji", a nie jakieś SQL injection czy inne zagrożenia bezpieczeństwa jeśli chodzi o warstwę aplikacji. Dodatkowo przy hashowaniu istnieje pewne prawdopodobieństwo (zależne od wyboru funkcji hashującej) kolizji, więc musi być dodatkowy etap sprawdzania czy już takiego hashu nie ma (na poziomie bazy albo aplikacji). |
|
|
|
athabus Indeks alfanumeryczny a wydajność 27.01.2016, 15:42:46 
Pyton_000 A nie prościej zabezpieczyć to od strony aplikacji... 27.01.2016, 15:59:19 athabus Pewnie, że warto, ale wszystkich ewentualności nie... 27.01.2016, 16:18:15 Pyton_000 Tu masz ciekawą dyskusję.
http://stackoverflow.co... 27.01.2016, 16:33:51 athabus O dzięki - chyba wszystko jasne. 27.01.2016, 17:13:41 Crozin Jeżeli chodzi o aspekt zabezpieczeń... jakiś dodat... 27.01.2016, 17:42:17 athabus Ale co za tym przemawia? - wg. informacji z podlin... 27.01.2016, 18:09:56 Crozin Narzut na dodatkową kolumnę z takim statystycznie ... 27.01.2016, 18:25:54 athabus @reedemer - zgodzę się, że jako jedyny element zab... 27.01.2016, 18:40:01 Pyton_000 Jeśli chodzi o kolizję to polecam zastosowanie UUI... 27.01.2016, 21:10:20 Crozin @Pyton_000: UUID/GUID nigdy nie daje gwarancji uni... 27.01.2016, 21:32:35 
Pyton_000 Na tyle małe że można założyć że jest unikalne.
C... 27.01.2016, 21:35:37  |
|
Aktualny czas: 16.10.2025 - 04:45 |
