Как стать автором
Обновить

Комментарии 5

// извлекаем ID пользователя из названия файла
const userId = req.file.filename.split('.')[0]
const user = await prisma.user.update({
where: { id: userId },

У меня для Вас плохие новости...

postsHandler.post(async (req, res) => {
const data: Pick<Post, 'title' | 'content' | 'authorId'> = JSON.parse(
req.body
)

try {
const post = await prisma.post.create({
data
})

Что ж Вы так уверены в благонадежности клиента...

Короче, Вы в authGuard токен проверили, а вот информацию из него дальше не передали. Поэтому все userID/authorID, взятые из запросов - явная дыра в безопасности. Эти ID должны прийти из middleware authGuard, а не из запроса.

Вы правы, спасибо, пофиксил + добавил уникальные сочетания полей для моделей Post и Like.

Можно еще запретить лайкать свои посты ;)

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.