收藏
回答

云开发数据库权限如何针对某一个字段?

比如我的课程表有个课余量字段, 买了课就会少一节.

课程是A发布的, 买课的是B.

  1. 如果仅创建者可写其他人可读, 那么B无法改A发布的课余量.
  2. 如果所有人均可写可读, 那么B用户能不能越权去修改A发布的课程的其他字段的内容?

所以我应该需要针对某一字段的权限吗?

  • 我还有一个问题, 如果我设置了所有人均可读可写, 我没在小程序的代码里写数据库操作的代码, 其他人会不会通过比如说小程序里注入代码, 获取以其他形式调用数据库.
回答关注问题邀请回答
收藏

2 个回答

  • 跨商通
    跨商通
    2021-02-18

    你想多了,你所有假设都建立在小程序被黑的基础之上。

    不存在。小程序可能会被反编译,但是被黑的小程序是访问不了任何云开发资源的,包括数据库。

    因为wx.cloud.init()会无法通过。

    2021-02-18
    有用 1
    回复 6
    • 柯炎
      柯炎
      2021-02-18
      那也就是说即使我开发某个集合的所有人可读写权, 我在小程序里只写了对某个字段的操作, 其他人也是无法修改其他字段的.
      2021-02-18
      回复
    • 柯炎
      柯炎
      2021-02-18
      纠错: 
      开发某个集合=>开放某个集合
      2021-02-18
      回复
    • 跨商通
      跨商通
      2021-02-18回复柯炎
      你就是把源码告诉别人,就算是把所有数据库操作都写在小程序端,别人也没办法对你的云数据库做任何修改。这是云开发安全机制保证的。
      2021-02-18
      回复
    • 2FL0W3R
      2FL0W3R
      01-17
      但是这样的话云函数权限更大的意义在哪里?既然开放了权限别人也没法修改,那不是只要把权限都开放就可以了,不需要通过云函数来读写吗?
      01-17
      回复
    • 跨商通
      跨商通
      01-17回复2FL0W3R
      注意,楼主的“别人”说的是“注入代码”黑入小程序的“别人”,而不是某一个别的用户,和你说的是两码事。已经上线的云开发小程序,是不可能被黑入云开发的数据库的。
      01-17
      回复
    查看更多(1)
  • Mr.Zhao
    Mr.Zhao
    2021-02-18
    云函数里执行不就得了
    2021-02-18
    有用
    回复 2
    • 柯炎
      柯炎
      2021-02-18
      也就是说数据库创建者可读写, 其他人可读. 通过云函数去操作某个字段, 因为云函数具有所有可读性权.
      2021-02-18
      回复
    • Mr.Zhao
      Mr.Zhao
      2021-02-18回复柯炎
      云函数权限大。你这个想法针对某个字段,挺能想的
      2021-02-18
      回复
登录 后发表内容
问题标签