Angenommen, ich habe zwei Sammlungen in meiner MongoDB-Datenbank und einen HTTP-Dienst, mit dem ein Benutzer ein JSON-Objekt senden kann. Die geparsten json wird dann wie folgt verwendet:
db.public_collection.find(user_json).limit(10)
Dies wird durch einen RBAC Benutzer ohne Schreibzugriff durchgeführt.
die $ Mit dem Betreiber könnte ein Benutzer:
- Alter Datensätze in der Sammlung (ich nehme an RBAC dies verhindert)?
- Datensätze in einer anderen Sammlung ändern?
- Führen Sie eine ressourcenintensive Abfrage durch, die den Server verlangsamt hat?
Ich bin mir nicht sicher, was Sie fragen. Wenn Sie eine find() - Methode ausführen und der Benutzer keinen Lesezugriff hat, wie kann der Befehl find ausgeführt werden? –
Ups, das war ein Tippfehler - jetzt geändert, um Zugriff zu schreiben. – TDN169
[Was sollte jeder Programmierer über Sicherheit wissen?] (Https://stackoverflow.com/questions/2794016/what-should-every-programmer-know-about-security) – styvane