[英]meteor - profile editing security
所以我找到了这篇文章。 它仍然是实际的还是同时发生了一些变化? 我应该担心用户的安全吗? 我正在更新用户数据,如下所示:
Meteor.users.update({_id: Meteor.userId()}, {$set: {'profile.name': name, 'profile.surname': surname}})
Meteor.users
的profile
字段存在争议,将来可能会被弃用(或至少是其特定的自动发布行为)。 请参阅此千年发展目标文件。 引用:
用户文档上的
profile
字段非常危险。 新 Meteor 开发人员通常认为这是放置他们放在用户文档中的所有数据的好地方,而且它特别方便,因为它会自动发布到客户端。 不幸的是,profile 对于几乎任何东西来说都是一个糟糕的地方。 在任何真实的应用程序中,您都需要验证进入数据库的每一位数据。
我的建议是根本不要使用profile
字段。 相反,将您需要的任何字段添加到Meteor.users
并以通常的方式发布它们。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.