关于用wex5开发的项目，JS操作数据库的安全性问题

doudou459

wex5确实比较好用，用很多组件来组合就可以做出比较好看的web前段了。
但是看了很多学习案例，案例里面都是直接在JS中对baasdata的数据进行保存和删除。
我就想问，这种直接使用JS对baasdata的数据操作的方式安全吗？
因为是直接就保存了，那么别人可以修改客户端的JS文件，达到某些目的。
比如外卖案例中的商品价格，在对订单数据保存的时候，客户端可以修改JS，把商品价格改成1元或者0元保存进去

liangyongfei

data 组件只是前端数据集，并不是真正保存到数据库的！
数据交互也是通过ajax 访问baasServer 实现的！如果想要提高安全性，需要在后台对请求进行验证的

doudou459

liangyongfei 发表于 2016-12-30 14:44
data 组件只是前端数据集，并不是真正保存到数据库的！
数据交互也是通过ajax 访问baasServer 实现的！如果 ...

我的意思就是  你们的教学案例里面那样直接保存数据不安全啊直接newData之后saveData   
刚才我还没想到好的办法来解决····
现在我已经想到办法啦

你说的对请求进行后台验证是一种方法，不过不知道会不会太复杂
我想前端只用来查询数据，不进行数据的新增和保存，新增和保存全都写到后台去，我估计这样代码要简单点，前端在baasServer新增action那里直接对所有baasdata不选sava  action   

另外   我建议  wex5  出点  登陆验证的案例（后台验证的，不是现在的JS验证的案例），还有就是后台新增和保存数据库的案例。
毕竟   大家学习wex5以后是要实际开发项目的，现在这种全JS代码的，虽然可以实现很多功能，但是毕竟不安全啊，幸幸苦苦做好的项目，运行几天就被打成塞子   还是有点让人沮丧的   特别要是如果还是开发的电商项目，那损失就惨不忍睹的咯

liangyongfei

doudou459 发表于 2016-12-30 15:11
我的意思就是  你们的教学案例里面那样直接保存数据不安全啊直接newData之后saveData   
刚才我还没想到 ...

您好，其实你理解错了！data组件的报错也是需要调用baasServer的action实现的！不过是data组件已经封装好了
最终他会吧data的所有数据传到后台，后台使用了标准的action  对获取的数据进行分析，然后再保存到数据库的！
如果你想后台做更安全的验证，那就不要使用平台系统自带的action ，自己写action 实现就可以了，data组件可以绑定你自己的action


所以data的保存也是直接保存到数据库的！而是请求的action ，然后是服务器中才会直接面对数据库操作的！

关于baas的介绍建议参考：
http://www.wex5.com/1-wex5#06
WeX5后端服务教程
看下视频学习下吧

doudou459

liangyongfei 发表于 2016-12-30 15:17
您好，其实你理解错了！data组件的报错也是需要调用baasServer的action实现的！不过是data组件已经封装好 ...

我知道这些。
我只是懒不想再写查询的action ，所以查询这块，我就用你们封装好的。
然后保存这块，用我自己写的就好。

liangyongfei

doudou459 发表于 2016-12-30 15:22
我知道这些。
我只是懒不想再写查询的action ，所以查询这块，我就用你们封装好的。
然后保存这块，用我 ...

可以这样做！