Czy warto zawracać sobie głowę stosowaniem alternatywnego systemu identyfikacji komentarzy w systemie komentarzy na blogu zamiast stosowania id komentarzy obecnego w bazie danych.

Problem ten wziął mi się z tego, że gdzieś doczytałem, że należy utrudnić hackerowi rozpoznanie id administratora. Ale to było odnośnie ewentualnego ukrywania id userów.

Jeśli idzie o id komentarzy, to na podstawie id hacker może wnioskować na temat wielkości tabeli z komentarzami w bazie danych. Może ma zlecenie na wykradnięcie 10 tabel z komentarzami nt. mody z dowolnych forum, ale te tabele muszą mieć co najmniej 5000 komentarzy. Wtedy nie zabierze się on za blog czy forum, gzie ta wielkość jest trudna do oszacowania.

Zatem mamy przynajmniej teoretyczny wzrost bezpieczeństwa.

Jestem ciekaw opinii, ewentualnie jaki byłby zastępczy sposób identyfikacji.
Z góry dziękuję

abyś miał przed xss zabezpieczenie, filtrowanie w formularzach itp. i żeby nie wyświetlać w htmlu czy na podstawie get, id użytkownika/admina.

Doczytałem w ostatnich godzinach, że zamiast increment int id w bazie danych można stosować UUID albo GUID. Ale jednak te wartości powinny być w kodzie html obecne, czyli dostępne dla userów przez ctrl+u. Zastanawiam się nad systemem, że id np. posta jest inne w html i inne w bazie danych.

Oraz nad systemem, że w bazie danych jest increment int, a w id w html UUID. Może znacie jakies rozkminy tego typu tematów?

http://hashids.org/php/