Warum wird nicht empfohlen, serverseitige gespeicherte Funktionen in MongoDB zu verwenden?

Question

Gemäß der MongoDB documentation wird es nicht empfohlen, serverseitige gespeicherte Funktionen zu verwenden. Was ist der Grund für diese Warnung?

Answer 1

Ich bin sicher, dass ich die Liste angegeben haben ein paar Mal trotz der Google-Suchergebnis nur gefüllt ist mit Menschen, die Sie erzählen, wie es zu tun:

• Es ist eval
• eval natürlichen Fähigkeiten hat zu leicht injiziert werden, ist es wie ein Nicht-PDO-Gleichgewichte zu SQL, wenn Sie nicht eine vollständige Escaping-Bibliothek um ihn herum aufbauen, wird es Sie vermasseln. Indem Sie diese Funktionen verwenden, ersetzen Sie effektiv die sicherere Muttersprache von MongoDB für etwas, das genauso unsicher ist wie alle alten SQL-Versionen.
• Es dauert eine globale Sperre und kann Schreibsperre nehmen und wird nicht freigegeben, bis der Vorgang vollständig abgeschlossen ist, im Gegensatz zu anderen Operationen, die in bestimmten Fällen freigegeben werden.
• eval funktioniert nur auf Primärteile und nie ein anderes Mitglied der Replikatgruppe
• Es ist im Grunde läuft, unkontrolliert, eine Tonne von JS in einem gebündelten V8/Spider ENVO, die mit voller Fähigkeit, mit MongoDB kommt jeden Teil zu berühren von Ihre Datenbank und Admin-Befehle, klingt das sicher?
• Es ist nicht MongoDB und noch ist es "MongoDBs SQL", es läuft innerhalb einer eingebauten JS-Umgebung, nicht MongoDBs C++ - Code selbst (im Gegensatz zum Aggregation Framework).
• Aufgrund des vorherigen Punktes ist es EXTREM langsam im Vergleich zu vielen anderen Optionen, dies gilt auch für $where Verwendung.

Das sollte genug sein, um an dieser Front zu beginnen.