MongoDB 컬렉션에서 CRUD 작업을 지원하는 RESTful APIS를 구축하기 위해 기본 노코드 솔루션을 구축하는 중입니다. 지금은 외부 사용자 없이 내부적으로 사용하는 개념 증명 프로젝트일 뿐입니다.
나는 보았다이 질문얼마 전 Stack Overflow에서 이 작은 프로젝트를 SaaS 개념으로 변환할 수 있다고 생각했습니다.
사용자가 MongoDB에서 자신의 컬렉션을 생성하도록 허용하는 것은 잠재적으로 안전하지 않을 수 있지만 어떤 치명적인 결과도 생각할 수 없습니다... 악의적인 사용자가 의도적으로 성능이 끔찍한 컬렉션을 생성할 수 있다는 사실이 아닐까요? 아니면 사용자가 다른 컬렉션에 대한 참조를 삽입할 수도 있습니다...?
분리된 Mongo 데이터베이스가 이러한 공격을 완화하는 데 도움이 됩니까? 아니면 이것이 왜 나쁜 생각인지 더 많은 이유를 알려주실 수 있나요?
매우 감사합니다!
답변1
내가 생각할 수 있는 몇 가지 문제
- 중복된 컬렉션 이름
- 원하지 않는 문자
- 인덱스를 제어하지 못할 수 있으므로 성능 문제가 있습니다.
다른 접근 방식은 컬렉션을 만들고 데이터를 필드에 입력하도록 하는 것입니다 mixed. 그래도 당신은 indexing어느 정도 문제에 직면하게 될 것입니다.