周黎安 的讨论

无论你是多高级的数据库，table的index都是从0开始递增的。你说的hash、grid这些算法，是在数据库的实现层面，并不是在数据存储的逻辑层面。每一行新的数据，都有一个内部的逻辑id，它是unique且递增的。退一万步讲，如果不是，那灰熊怎么就能探测到那么多有效的用户id呢？

报告中涉及到两个API：内部人提供的是第二个API，用来估算gsx用户人数的。第一个API，即获取课程信息的API，那就是一个设计上的漏洞。而且第二个API也确实没有失效，因为这个程序提供的是一个编码算法，如果失效，是完全不可用的。刚刚我已经运行过代码了，确实可用。

数据集市听过没？我的意思是，不可能有一个内鬼能拿到这样一个底层且全量的用户API，除非内部已经完全解体了。换句话说，探测有有效id只不过是索引值匹配，也没有任何证据能证明这些用户是真实有效的。

你为什么会觉得用户编号是递增的，9012年都用分布式存储和云库了...hash算法、网格算法听过没？唯一还在递增的应该是数据库里的索引。阿里云的客户之一就是跟谁学，你可以联系下阿里云的人看看

你理解错了，不是得到用户信息。只是得到用户的id和内部编号之间的关系。通过得到当前的最大用户编号，来推测当前的用户数量。用户的内部编号，是递增的。

意思就是内鬼提供的接口可以让外面人直接抓到整个公司所有用户的所有信息？那技术力可太蠢了，跟谁学的技术架构负责人，传说中的张怀亭真就留个后门给黑客呗？还是说现在阿里内部出一个内鬼，我能抓到阿里所有用户的购买信息和手机号？