暴露表名字段名有什么危害

我把后台管理的增删改查三接口搞定，上级觉得暴露了数据库的字段名有风险。原因说不出来只觉得能用字段做某些事情。我一直都是用orm去查询数据库，基本避免的sql注入问题。上级以前一直都用的是字符串拼接方式。有人知道暴露数据库字段有什么危害么？我是感觉就算把表名字段名暴露出去黑客也不能利用这些东西做什么。

netwjx 1楼•3 年前

一般没啥影响如果你做了数据分片, 表名上有数字, 那么是可以推导出你的数据规模, 业务规模

以前还想过一些套路, 只在代码中用人类可阅读的字段名/表名, 通过框架解决名称 <-> 随机数之间的双向映射后来想想意义不大, 工具链不完善的话, 会给调试带来极大的困难

表名字段名类名方法名参数名不一致基本就是在人工维护名称 <-> 随机数之间的双向映射

qian-ryan 2楼•3 年前作者

@netwjx 我也是这么觉得。上级感觉这样有风险，问他怎么有风险也说不出所以然。必须要每个接口单独些返回的字段还都必须给别名。难受

hsiaosiyuan0 3楼•3 年前

有谁预先就知道这些是数据库的字段啊 - -