セキュリティ上の主な懸念事項は「情報漏えい」です。たとえば、ユーザーが公に表示されないようにするオプションがある場合、命名規則を推測した攻撃者は、「非表示の」ユーザーの写真を取得できます。これはおそらくユーザーが望んでいるものではありません。
「1.jpg」から始まり、増加する数字のファイル名を使用すると、他の情報が漏洩します。ファイルを段階的に要求し、いつ 404 エラーが発生するかを確認することで、誰でもあなたのユーザー数を知ることができます。
ソフトウェア設計の観点から、多くの場合、ユーザー名を主キーとして使用したくありません。たとえば、ユーザー名は変更される可能性があります (特に、電子メール アドレスをユーザー名として使用する場合)。データベースの主キーは、(G)(U)UID のような不変で一意のものにする必要があります。これは、他のサイトのユーザーの写真を見るときに表示されるファイル名である可能性があります。
もちろん、ユーザーが複数の写真をアップロードできるようにする場合、主キーを使用しても機能しません。そのため、「規則」から選択する必要があります。たとえば、ユーザーごとに写真フォルダーを作成するなど、何らかの方法でそのフォルダーにある画像の数を調べるか、それらの画像パスをデータベースに明示的に保存します。どちらの場合も、ユーザーに主キーを使用することはおそらく不十分です...
これは主に名前空間の問題だと思います。
URLをランダム化するホスト(私が知っている)は、ユーザーアカウントなしでアップロードを許可するため、あなたのアプローチは機能しません。ランダム化されたフォルダー/ファイルの名前付けを使用すると、同じファイル名を 2 回アップロードするユーザーの競合が最小限に抑えられます。
匿名のアップロードを受け入れる必要がまったくない場合は、ユーザー ファイルをどのように整理し、名前空間の衝突を回避するかは個人の好み次第だと思います...
私はお勧めします - あなたに独自性を与えるものを選びましょう。たとえば、プロフィール写真をアップロードしようとしている場合、次のように名前を付けます。次にログインするときは、写真が画面から自分を見ていることを期待します。写真の名前は、ユーザーとしてme.jpgの私には関係ありません
Pavel_Janicek_me.jpgそのため、名前をorに変更してdflw00axxwe.jpgも問題ありません。自分の写真を見せる限り。
ユーザーが複数の画像をアップロードできるようにする場合は、番号付けを検討してください。名前を変更すると、次のエラーが解決されます。