小程序云开发，怎么防止中间人攻击，存在这种风险吗？

关于“拍照或从手机相册中选图接口”接口返回的localIds作为img标签src只能在微信上显示？PC版不可用吗？

经测试，同一微信账号登录不同的小程序（指云环境不同），获得的 openid 不同。所以 openid 是微信账号加云环境（wx-server-sdk）。

image [图片]

console.log('开始')         let zhanghao = wx.getStorageSync("user")//获取账号         let id = null         let num = 0         db2.where({             name:zhanghao         }).get({             success:function(res){                 id = res.data[0]._id                 num = res.data[0].k16                 console.log('一开始的num',num)//在更新前先查询num是多少,一般下一次函数调用的时候应该是更新后的数据，但没改变                 db2.doc(id).update({                     data:{                         k16:num+1                     },                     success:function(resu){                         console.log('更新完毕')//更新num完成                         db2.where({                             name:zhanghao                         }).get({                             success:function(result){                                 console.log('后来更新的num',result.data[0].k16)//查询更新后的num是多少                             }                         })                     }                 })             }         }) [图片] 这是调用3次函数的，这个不应该在第一次查询num的时候，会返回上一次更新的结果，结果仍然返回没更新的结果，请大佬们帮我看看这是为什么，谢谢

假如有以下数据： 第一条数据：_id:'a',me:{a:'a',b:'b',c:'c'} 第二条数据：_id:'b',me:{a:'a',b:'b'} 如果想要查找字段me中的属性个数为2的数据，where条件该怎么写，求教

由于小程序资料页会显示域名，会被针对域名进行DDoS攻击，除了买高防包别无它法，而高防包很贵，请官方不要在资料页展示域名，这个展示很鸡肋，正常用户不会去看，反而一些恶意攻击者针对域名进行DDoS攻击。 [图片][图片]

如题，我相信很多小程序开发者都遇到了。如下图，这些三个名字的用户，我觉得根本不是真实用户，可能是官方的测试用户，如果是正常真实用户，只要是授权，是100%获取到了。请问官方？这些数据是否是官方的测试用户？作用是什么？麻烦说明一下情况！！ [图片] [图片] [图片] 全部是凌晨进来的，一次性给我进了10页（100多个假用户）。 现在是越来越疯狂了。

会不会出现这种情况，别人劫持你的页面或反编译你的代码，拿到了云数据库的控制权，然后往一个集合，这个集合又可以在小程序端添加数据的，然后向你的云数据库不断地添加垃圾数据，导致数据库爆满，会有这种情况吗？为什么？

不然会出现无法预期的后果