我在一个大型项目上工作了大约4个月。 我们经常质疑“领导”。
项目规则(来自没有IT背景的客户)
如果我错了,请纠正我,但这并不意味着
还有另一个程序员正在处理类似的项目,他正在使用Node.js作为与数据库交互的Web应用程序。 这不是一个类似的问题吗? 这个客户端CRUD如何准确地运行安全性?
答案 0 :(得分:0)
如果我错了,请纠正我,但在我看来,您认为javascript直接访问数据库。
为此,我看到,Javascript仅用于管理UI,并与服务器联系(使用Ajax?)来更新/创建/删除实体。
这不是不安全的,但开发人员必须确保允许所请求的用户的操作(在服务器端)。
示例:对于https://myServer/myApp/Person/1
这样的DELETE请求的网址,用户可以修改此网址,如https://myServer/myApp/Person/6
或https://myServer/myApp/Work/1
。
因此,必须验证用户是否可以删除id = 6的Person或id = 1的Work。