流星-配置文件编辑安全性
meteor - profile editing security
所以我找到了这篇文章。它仍然是真的吗?还是已经发生了变化?我应该担心用户的安全吗?我像这样更新用户数据:
Meteor.users.update({_id: Meteor.userId()}, {$set: {'profile.name': name, 'profile.surname': surname}})
Meteor.users
的profile
字段存在争议,将来可能会被弃用(或者至少是其特定的自动发布行为)。请看这份千年发展目标文件。引言:
用户文档中的
profile
字段是非常危险的。新流星开发人员通常认为这是他们放置所有数据的好地方他们的用户文档,它特别方便,因为它是自动发布到客户端。不幸的是,个人资料很糟糕这里几乎可以容纳任何东西。在任何真正的应用程序中,您都会想要这样做验证进入数据库的每一位数据
我的建议是不使用profile
字段。相反,添加您需要的任何字段到Meteor.users
并以通常的方式发布它们。
相关文章:
- CKEditor Widget-阻止编辑可编辑元素本身
- 如何在angularJS中编辑时,如果DB中的值为true,则设置复选框,如果值为false,则取消选中复选框
- 高亮显示时编辑文本大小和颜色
- 剑道UI内联编辑:如何在点击其他按钮时隐藏按钮
- 将事件聚焦/模糊在可编辑内容的元素上
- 编辑HTML表的源数据
- ExtJS网格单元格编辑器,防止焦点松动问题
- 如何在visualstudio中调试web api时编辑javascript文件
- 具有所有样式的文本正在复制到可编辑文本区域
- 可以't使用PHP使用Froala编辑器上传图像URL
- 用Greasemonkey编辑专栏
- 如何在corona sdk中从CK编辑器中检索数据
- 基于数据类型的编辑框的汇总列表
- 如何使用jQuery可编辑插件检查ajax是否成功完成
- 错误:[$compile:nonassign]表达式'未定义'与指令'内容可编辑'是不可
- 如何在ng-reeat中使用ng-switch来编辑JSON API数据
- 如何获取经过编辑的文本
- 文本编辑后,append函数不适用于文本区域
- Eclipse编辑器中无法访问的代码
- 流星-配置文件编辑安全性