我正在建立一個基本的無程式碼解決方案,以建立支援 MongoDB 集合上的 CRUD 操作的 RESTful API。現在它只是一個概念驗證項目,我在內部使用,沒有外部用戶。
我看見這個問題前幾天在 Stack Overflow 上,我認為它可以讓我將這個小型專案轉換為 SaaS 概念。
允許用戶在 MongoDB 中創建自己的集合可能是不安全的,但我想不出任何災難性的後果……也許惡意用戶可以故意創建性能糟糕的集合?或者也許用戶可以注入一些對其他集合的引用......?
擁有獨立的 Mongo 資料庫是否有助於減輕這些攻擊?或者你能給我更多理由說明為什麼這是個壞主意嗎?
非常感謝!
答案1
我能想到的幾個問題
- 集合名稱重複
- 不需要的字符
- 存在效能問題,因為您可能無法控制索引
另一種方法是為他們建立集合並讓他們將資料放入mixed欄位中。indexing但在某種程度上你仍然會面臨這個問題。