Насколько небезопасно делать функции-обертки для запросов в БД на JS?

Question

[Сергей Сулаков]

При разработке web-интерфейсов и сайтов часто использую функции-обертки на PHP для примитивных действий-запросов в БД MYSQL, к примеру:

db_insert($table,$data); db_update($table,$data,$row_id); db_delete($table,$row_id);

Насколько опасно сделать такие же для JAVASCRIPT?
К примеру: dbInsert(table,serialized_data) - передает через AJAX данные для PHP-функции db_insert($table,$data);

Answer 1

[Юрий]

просто учитывайте что любой пользователь системы может делать любые апдейты/удаления любых сущностей. тк сомневаюсь что у вас на сервере эти функции сейчас проверяют права доступа.
поэтому вопрос выраждается в "насколько критично, что любой юзер может удалять/менять что угодно в системе?". на этот вопрос думаю сами можете ответить.

Answer 2

[Алексей Уколов]

Ровно настолько, насколько небезопасны ваши функции на бэкенде.
Ну и дополнительно вы показываете злоумышленнику на клиенте свою структуру БД.

Это уже не говоря о том, что такой подход совершенно неправильный - пишите код более абстрактно, оперируя сущностями, а не таблицами БД.

Answer 3

[ThunderCat]

Я не совсем согласен с Максим Бабичев, такая практика ведет к ошибкам в масштабе приложения, + не тестируется, + никак не отвечает объектному подходу - какие запросы от жс к бд??? На клиенте я могу с вашими данными делать АБСОЛЮТНО что угодно, ведь предполагается что вопрос задан неспроста, вы действительно хотите передавать эти данные прямо к функциям запросов в бд? Аякс должен быть методом передачи данных от клиента к серверу(ну и обратно, но в данном случае не суть). Все манипуляции с данными должны быть отделены от запросов в бд как минимум 2 слоями абстракции - контроллером и моделью. В идеале еще и каким-либо абстрактным бд-движком - доктриной , самописным каким-нибудь, или еще чем. А тут у вас куча конкретных данных о структуре бд, полях, данных, что к какой таблице относится - кароче мохнатый лес. Смотрите реализации аякса в мвц.