- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
要使用一个示例来演示该问题,假设我有一个由以下架构定义的用户模型:
var UserSchema = new Schema({
username: String,
email: String
}
mongoose.model('User', UserSchema);
我知道要使用保存方法更新用户,我可以查询用户,然后保存更改,如下所示:
User.findOne({username: usernameTofind}, function(err, user) {
//ignore errors for brevity
user.email = newEmail;
user.save(function(err) { console.log('User email updated') });
});
但是,如果我尝试使用完全相同的字段值(包括 _id)创建一个新的 User 对象,是否有可能覆盖数据库文档?我认为不会,因为从理论上讲,这意味着恶意用户可以利用不安全的 api 并覆盖现有文档(例如使用“创建新帐户”请求,这不会/不能依赖于已经存在的用户)正在验证),但更重要的是,当我尝试使用请求工具执行此操作时(我正在使用 Postman,但我确信类似的 curl 命令就足够了),我收到重复的 _id 错误
MongoError: insertDocument :: caused by :: 11000 E11000 duplicate key error index
所以我只是想澄清一下,更新现有文档的唯一方法是查询文档,修改返回的实例,然后调用该实例的 save 方法,或者使用静态 update()。这两者都可以通过要求身份验证来保证安全。
如果有帮助的话,我提出这个问题的动机如上所述,因为我想确保如果公开暴露如下方法,用户无法覆盖现有文档:
userCtrl.create = function(req, res, next) {
var user = new User(req.body);
user.save(function(err) {
if (err) {
return next(err);
} else {
res.json(user);
}
});
};
快速编辑:我刚刚意识到,如果是这种情况,那么数据库如何知道查询的实例和具有完全相同的键和属性的新 User 对象之间的区别?
最佳答案
Does
modelObject.save()
only update an existing database document when the modelObject was obtained from the database itself?
是的,确实如此。有一个标志指示文档是否是新的。如果是新的,Mongoose 将插入该文档。如果没有,那么它将更新文档。该标志是 Document#isNew
。
当您找到
文档时:
User.findOne({username: usernameTofind}, function(err, user) {
//ignore errors for brevity
console.log(user.isNew) // => will return false
});
当您创建新实例时:
var user = new User(req.body);
console.log(user.isNew) // => will return true
So I just want to clarify that the only way to update an existing document is to query for the document, modify the returned instance, then call the save method on that instance, OR use the static
update()
. Both of these could be secured by requiring authentication.
还有其他方法可以更新文档,使用 Model#update
, Model.findOneAndUpdate
和 others .
但是,您无法更新 _id
字段。即使 Mongoose 尚未发出正确的数据库命令,MongoDB 也不会允许这样做。如果你尝试一下,你会得到类似这样的错误:
The _id field cannot be changed from {_id: ObjectId('550d93cbaf1e9abd03bf0ad2')} to {_id: ObjectId('550d93cbaf1e9abd03bf0ad3')}.
但是假设您使用问题中的最后一段代码来创建新用户,Mongoose 将发出 insert
命令,因此有人无法覆盖现有文档。即使它在请求正文中传递了_id
字段,MongoDB也会抛出E11000重复键错误索引
错误。
此外,您应该先过滤用户可以作为负载传递的字段,然后再使用它们创建用户。例如,您可以创建一个接收对象和允许参数数组的通用函数:
module.exports = function(object, allowedParams) {
return Object.keys(object).reduce(function(newObject, param) {
if (allowedParams.indexOf(param) !== -1)
newObject[param] = object[param];
return newObject;
}, {});
}
然后你只需要并使用该函数来过滤请求正文:
var allow = require('./parameter-filter');
function filter(params) {
return allow(params, ["username", "email"]);
}
var user = new User(filter(req.body));
关于javascript - 当从数据库本身获取 modelObject 时, modelObject.save() 是否仅更新现有数据库文档?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29726090/
SQLite、Content provider 和 Shared Preference 之间的所有已知区别。 但我想知道什么时候需要根据情况使用 SQLite 或 Content Provider 或
警告:我正在使用一个我无法完全控制的后端,所以我正在努力解决 Backbone 中的一些注意事项,这些注意事项可能在其他地方更好地解决......不幸的是,我别无选择,只能在这里处理它们! 所以,我的
我一整天都在挣扎。我的预输入搜索表达式与远程 json 数据完美配合。但是当我尝试使用相同的 json 数据作为预取数据时,建议为空。点击第一个标志后,我收到预定义消息“无法找到任何内容...”,结果
我正在制作一个模拟 NHL 选秀彩票的程序,其中屏幕右侧应该有一个 JTextField,并且在左侧绘制弹跳的选秀球。我创建了一个名为 Ball 的类,它实现了 Runnable,并在我的主 Draf
这个问题已经有答案了: How can I calculate a time span in Java and format the output? (18 个回答) 已关闭 9 年前。 这是我的代码
我有一个 ASP.NET Web API 应用程序在我的本地 IIS 实例上运行。 Web 应用程序配置有 CORS。我调用的 Web API 方法类似于: [POST("/API/{foo}/{ba
我将用户输入的时间和日期作为: DatePicker dp = (DatePicker) findViewById(R.id.datePicker); TimePicker tp = (TimePic
放宽“邻居”的标准是否足够,或者是否有其他标准行动可以采取? 最佳答案 如果所有相邻解决方案都是 Tabu,则听起来您的 Tabu 列表的大小太长或您的释放策略太严格。一个好的 Tabu 列表长度是
我正在阅读来自 cppreference 的代码示例: #include #include #include #include template void print_queue(T& q)
我快疯了,我试图理解工具提示的行为,但没有成功。 1. 第一个问题是当我尝试通过插件(按钮 1)在点击事件中使用它时 -> 如果您转到 Fiddle,您会在“内容”内看到该函数' 每次点击都会调用该属
我在功能组件中有以下代码: const [ folder, setFolder ] = useState([]); const folderData = useContext(FolderContex
我在使用预签名网址和 AFNetworking 3.0 从 S3 获取图像时遇到问题。我可以使用 NSMutableURLRequest 和 NSURLSession 获取图像,但是当我使用 AFHT
我正在使用 Oracle ojdbc 12 和 Java 8 处理 Oracle UCP 管理器的问题。当 UCP 池启动失败时,我希望关闭它创建的连接。 当池初始化期间遇到 ORA-02391:超过
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 9 年前。 Improve
引用这个plunker: https://plnkr.co/edit/GWsbdDWVvBYNMqyxzlLY?p=preview 我在 styles.css 文件和 src/app.ts 文件中指定
为什么我的条形这么细?我尝试将宽度设置为 1,它们变得非常厚。我不知道还能尝试什么。默认厚度为 0.8,这是应该的样子吗? import matplotlib.pyplot as plt import
当我编写时,查询按预期执行: SELECT id, day2.count - day1.count AS diff FROM day1 NATURAL JOIN day2; 但我真正想要的是右连接。当
我有以下时间数据: 0 08/01/16 13:07:46,335437 1 18/02/16 08:40:40,565575 2 14/01/16 22:2
一些背景知识 -我的 NodeJS 服务器在端口 3001 上运行,我的 React 应用程序在端口 3000 上运行。我在 React 应用程序 package.json 中设置了一个代理来代理对端
我面临着一个愚蠢的问题。我试图在我的 Angular 应用程序中延迟加载我的图像,我已经尝试过这个2: 但是他们都设置了 src attr 而不是 data-src,我在这里遗漏了什么吗?保留 d
我是一名优秀的程序员,十分优秀!