Estoy en el proceso de crear una solución básica sin código para crear API RESTful que admitan operaciones CRUD en una colección de MongoDB. En este momento es solo un proyecto de prueba de concepto que uso internamente sin usuarios externos.
Yo viesta preguntaen Stack Overflow el otro día y pensé que podría permitirme convertir este pequeño proyecto en un concepto SaaS.
Permitir a los usuarios crear sus propias colecciones en MongoDB podría ser potencialmente inseguro, pero no se me ocurre ninguna consecuencia catastrófica... ¿Tal vez el hecho de que usuarios malintencionados puedan crear intencionalmente una colección con un rendimiento horrible? ¿O tal vez el usuario podría inyectar algunas referencias a otras colecciones...?
¿Tener una base de datos Mongo separada ayuda a mitigar esos ataques? ¿O podría darme más razones por las que esto es una mala idea?
¡Muchas gracias!
Respuesta1
Algunos problemas que se me ocurren
- Nombres de colecciones duplicados
- Personajes no deseados
- Existe un problema de rendimiento porque es posible que no pueda controlar los índices.
Un enfoque diferente sería crear la colección para ellos y dejarles colocar los datos en un mixedcampo. Aún así, enfrentarás el indexingproblema hasta cierto punto.