流星 - 个人资料编辑安全
[英]meteor - profile editing security
问题描述
所以我找到了这篇文章。 它仍然是实际的还是同时发生了一些变化? 我应该担心用户的安全吗? 我正在更新用户数据,如下所示:
Meteor.users.update({_id: Meteor.userId()}, {$set: {'profile.name': name, 'profile.surname': surname}})
1 个解决方案
解决方案1
1 已采纳 2015-09-14 09:18:36
Meteor.users的profile字段存在争议,将来可能会被弃用(或至少是其特定的自动发布行为)。 请参阅此千年发展目标文件。 引用:
用户文档上的
profile字段非常危险。 新 Meteor 开发人员通常认为这是放置他们放在用户文档中的所有数据的好地方,而且它特别方便,因为它会自动发布到客户端。 不幸的是,profile 对于几乎任何东西来说都是一个糟糕的地方。 在任何真实的应用程序中,您都需要验证进入数据库的每一位数据。
我的建议是根本不要使用profile字段。 相反,将您需要的任何字段添加到Meteor.users并以通常的方式发布它们。
Meteor更新用户配置文件
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.