收藏
回答

关于云开发数据库被人为篡改,求解

框架类型 问题类型 终端类型 AppID 基础库版本
小游戏 Bug 客户端 wxe5a3a9594c551fae 2.6.4

我们小程序在云开发里有一个数据库,更新数据是直接在小程序端调用update函数进行更新

但是我们最近排查发现,这个数据库里有一些非常明显的人为修改数据,比如本来上限是100的字段,直接改成了999999之类的

这个数据库权限设置是仅创建者可读写

我们怀疑应该是用户模拟发包造成的

所以这里想问一下,有没有什么办法可以避免这种情况


另外能不能说明一下小程序端和云数据库通信用的是什么协议,我们自己抓过https的包,没抓到,也不知道这些用户是怎么做到的

回答关注问题邀请回答
收藏

2 个回答

  • 邓坤力
    邓坤力
    2019-06-28

    你好,如果怀疑是有人在小程序中恶意篡改,请对这部分敏感数据采用只能云函数写入呢


    后续我们也会推出更细致的前端权限管理

    2019-06-28
    有用
    回复 1
    • sunshine
      sunshine
      2020-08-20
      你好,一个项目一般是多个开发人员,他们都可以在开发者工具操作数据库,那么有个开发恶意篡改了数据,却查不到是谁,这个有办法吗?
      2020-08-20
      回复
  • 2019-05-10

    你好,你们找到原因了吗,我也遇到类似情况,无法解释,我的小程序云数据库的一条手工数据,被修改成了其他信息,让人毛骨悚然,没办法联系到腾讯官方,不知如何求解!!

    2019-05-10
    有用
    回复 2
    • 吴晗
      吴晗
      2019-05-10

      目前还没找到原因,我们目前唯一觉得有可能的原因就是用户端模拟和云数据库通信了,现在我们调整了底层代码,把云数据库的权限调整为只有云函数端有写权限,所有数据库的写操作都走云函数

      2019-05-10
      回复
    • 李振
      李振
      2019-07-31回复吴晗
      这可能是客户端用本地修改器修改数值,然后正常update导致。
      2019-07-31
      回复
登录 后发表内容