收藏
回答

云开发,本地操作数据库和云函数操作数据库安全性问题如何理解?

问题模块 框架类型 问题类型 终端类型 AppID 基础库版本
云开发 小程序 Bug 客户端 wx5f4ce9f62dfb38f9 2.4.1


云开发涉及到的业务问题是否应该全部放到云函数去执行才安全?如果有黑客在破解的微信上操作小程序,那么小程序内部所创建的数据的安全性是否就不能得到保障了,我举个例子


创建订单,数据库权限推荐,用户的订单创建是可以让用户自己来生成或修改的,那么,订单的金额、使用的优惠券等核心敏感数据,如果让用户具备随意修改的权限,那是否用户通过非法方式可以下一个1000元的订单,但是在创建订单的时候把数据修改为1元呢?求官方或大神解答一些,谢谢了

最后一次编辑于  2018-12-14
回答关注问题邀请回答
收藏

2 个回答

  • 半寸灰
    半寸灰
    2018-12-14

    前提你得把微信客户端破解了

    不过云开发微信  小程序端   修改  权限  就是  不管是谁都是普通用户

    管理员都没权限去修改  不是自己 openid的数据

    2018-12-14
    赞同
    回复 8
    • 王政娇
      王政娇
      2018-12-14

      我的意思是,如果我的order集合设置的权限是创建者和管理者可读写,那么是否存在我自己为自己创建一个假订单的情况?

      关于破解:晚上不是有很多破解版吗,群控之类的


      我想问的是:是否核心业务必须全部放到云函数上处理才安全?订单虽然是用户创建的,但是订单金额不应该放在本机计算并创建订单,应该放到云函数。不知道我这么理解是否正确,假如成立的话,后段的业务明显要加重很多,大多数的核心业务全部都要迁移到云函数去处理。


      谢谢回答

      2018-12-14
      回复
    • 半寸灰
      半寸灰
      2018-12-14回复王政娇

      小程序端

      设置的权限是创建者和管理者可读写

      还是只能改  _openid  是自己的


      只要云函数  才能无差别修改



      2018-12-14
      回复
    • 半寸灰
      半寸灰
      2018-12-14回复王政娇

      安全问题 的话   还是可靠的  毕竟微信鉴权  了  。

      但是  前端  有不可控性  比如 操作者客户端  断网了

      但钱已经给了   。。订单还是修改状态  。0.0这时候  你能怎么办

      2018-12-14
      回复
    • 王政娇
      王政娇
      2018-12-14回复半寸灰

      我的理解是,云开发还是要区分前后端思维的,云函数属于后端,安全性通过微信官方的鉴权去做保障,所以核心业务逻辑必须要放到云函数去处理。

      2018-12-14
      回复
    • 半寸灰
      半寸灰
      2018-12-14回复王政娇

      本来就分的

      2018-12-14
      回复
    查看更多(3)
  • 强15851218976
    强15851218976
    2018-12-14

    这个用户订单管理,指的是确定收货这样的。你说的订单金额,是程序用数据,非要设权限,那就是仅管理员可写

    2018-12-14
    赞同
    回复