如果我强制使用userId,让客户端提供过滤器和/或替换对象的安全性如何:
filter = params['filter'];
update = params['update'];
filter['userId'] = userId;
update['userId'] = userId;
userSettingsCollection.update(filter, update);
这种方法可能存在哪些安全问题?客户端可以在这里进行任何类型的NoSQL注入并为另一个用户更新变量吗?这种方法可能带来哪些其他问题?