收藏
回答

云开发,本地操作数据库和云函数操作数据库安全性问题如何理解?

框架类型 问题类型 终端类型 AppID 基础库版本
小程序 Bug 客户端 wx5f4ce9f62dfb38f9 2.4.1


云开发涉及到的业务问题是否应该全部放到云函数去执行才安全?如果有黑客在破解的微信上操作小程序,那么小程序内部所创建的数据的安全性是否就不能得到保障了,我举个例子


创建订单,数据库权限推荐,用户的订单创建是可以让用户自己来生成或修改的,那么,订单的金额、使用的优惠券等核心敏感数据,如果让用户具备随意修改的权限,那是否用户通过非法方式可以下一个1000元的订单,但是在创建订单的时候把数据修改为1元呢?求官方或大神解答一些,谢谢了

回答关注问题邀请回答
收藏

3 个回答

  • Bingaling
    Bingaling
    2020-03-09

    你好,我刚开始接触云开发,有个可能很简单的问题...

    就是像创建订单、修改订单状态之类操作在小程序端肯定是不安全的,一般都是调用云函数去执行相关操作。

    那么我想问下用Cloud.callFunction来调用云函数这个过程安全吗?就是会不会有黑客可以主动调用我们的云函数,从而来操作数据库呢?

    2020-03-09
    有用
    回复 1
    • 王政娇
      王政娇
      2020-03-17
      这个事情完全是由微信的底层逻辑来决定的,理论上来说,微信既然这么设计了,应该是能够保障其安全性。
      2020-03-17
      回复
  • 半寸灰
    半寸灰
    2018-12-14

    前提你得把微信客户端破解了

    不过云开发微信  小程序端   修改  权限  就是  不管是谁都是普通用户

    管理员都没权限去修改  不是自己 openid的数据

    2018-12-14
    有用
    回复 8
    • 王政娇
      王政娇
      2018-12-14

      我的意思是,如果我的order集合设置的权限是创建者和管理者可读写,那么是否存在我自己为自己创建一个假订单的情况?

      关于破解:晚上不是有很多破解版吗,群控之类的


      我想问的是:是否核心业务必须全部放到云函数上处理才安全?订单虽然是用户创建的,但是订单金额不应该放在本机计算并创建订单,应该放到云函数。不知道我这么理解是否正确,假如成立的话,后段的业务明显要加重很多,大多数的核心业务全部都要迁移到云函数去处理。


      谢谢回答

      2018-12-14
      回复
    • 半寸灰
      半寸灰
      2018-12-14回复王政娇

      小程序端

      设置的权限是创建者和管理者可读写

      还是只能改  _openid  是自己的


      只要云函数  才能无差别修改



      2018-12-14
      回复
    • 半寸灰
      半寸灰
      2018-12-14回复王政娇

      安全问题 的话   还是可靠的  毕竟微信鉴权  了  。

      但是  前端  有不可控性  比如 操作者客户端  断网了

      但钱已经给了   。。订单还是修改状态  。0.0这时候  你能怎么办

      2018-12-14
      回复
    • 王政娇
      王政娇
      2018-12-14回复半寸灰

      我的理解是,云开发还是要区分前后端思维的,云函数属于后端,安全性通过微信官方的鉴权去做保障,所以核心业务逻辑必须要放到云函数去处理。

      2018-12-14
      回复
    • 半寸灰
      半寸灰
      2018-12-14回复王政娇

      本来就分的

      2018-12-14
      回复
    查看更多(3)
  • 强15851218976
    强15851218976
    2018-12-14

    这个用户订单管理,指的是确定收货这样的。你说的订单金额,是程序用数据,非要设权限,那就是仅管理员可写

    2018-12-14
    有用
    回复
登录 后发表内容