Здравствуйте, voviandr, Вы писали:

V>иногда в параметрах запроса веб-приложений требуется пересылать значения ключей базы данных, внешних или первичных. но если такой запрос будет перехвачен или подобран другим юзером то он зная это значение сможет получить доступ к чужим данным. мой знакомый предложил зашифровывать значение ключа, передаваемое в параметре, уникальное для юзера который отправляет запрос, на стороне сервера исходный ключ вычисляется по формуле включающей айди пославшего запрос, и запрос к бд идёт уже с вычисленным нормальным ключом. я в вебе не силён, поэтому интересуюсь, насколько оправдано такое решение среди спецов и как они подходят к такому вопросу. киньте пару ссылок если можно.

Ну и что страшного будет, если какой-нить злоумышленник узнает ID пользователя в БД.
Авторизация-то происходит по: Login, Password

Злоумышленник узнает ID (номер строки таблицы БД), где хранятся личные данные пользователя.
Но без физического доступа к этой БД, инфы то он никак не получит ...