aio350 24 января в 11:01

Разработка клиент-серверного приложения с помощью Next.js и TypeScript. Часть 1. Разработка сервера

Блог компании Timeweb Cloud Разработка веб-сайтов *JavaScript *Node.JS *TypeScript *

Туториал

+11

1.7K

Комментарии 5

savostin 24.01.2023 в 16:52

// извлекаем ID пользователя из названия файла
const userId = req.file.filename.split('.')[0]
const user = await prisma.user.update({
where: { id: userId },

У меня для Вас плохие новости...

savostin 24.01.2023 в 16:57

postsHandler.post(async (req, res) => {
const data: Pick<Post, 'title' | 'content' | 'authorId'> = JSON.parse(
req.body
)
try {
const post = await prisma.post.create({
data
})

Что ж Вы так уверены в благонадежности клиента...

savostin 24.01.2023 в 17:01

Короче, Вы в authGuard токен проверили, а вот информацию из него дальше не передали. Поэтому все userID/authorID, взятые из запросов - явная дыра в безопасности. Эти ID должны прийти из middleware authGuard, а не из запроса.

aio350 25.01.2023 в 09:52

Вы правы, спасибо, пофиксил + добавил уникальные сочетания полей для моделей Post и Like.

savostin 25.01.2023 в 11:39

Можно еще запретить лайкать свои посты ;)

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.