FixVibe
Covered by FixVibehigh

Gihîştina daneya bêdestûr bi rêya Ewlekariya Asta Rêzê ya Wenda Supabase (RLS)

Di serîlêdanên bi piştgirîya Supabase de, ewlehiya daneyê xwe dispêre Ewlekariya Asta Rêzê (RLS). Ger RLS bi eşkere ne çalak be û bi polîtîkayan ve neyê mîheng kirin, her bikarhênerek bi mifteya nenas a giştî dikare li seranserê databasê daneyan bixwîne, nûve bike an jêbibe. Ev bi taybetî di hawîrdorên Next.js de ku muwekîlê Supabase bi gelemperî bi bişkojek API-ya gelemperî tête destpêkirin de krîtîk e.

CWE-284

Bandor

Nexebitandina Ewlekariya Asta Rêzê (RLS) dihêle ku êrişkerên nerastkirî ji danegehek Supabase bipirsin dema ku tabloyên gelemperî di nav sînorê anonê [S1] de têne xuyang kirin. Ji ber ku sepanên Next.js bi gelemperî Supabase anon mifteya di koda alîgirê muwekîlê de derdixe holê, êrîşkar dikare vê mifteyê bikar bîne da ku rasterast REST API bike û bi guheztina agahdariya hesas a bikarhêner bi serîlêdanê re derbas bike û bigihîje serîlêdana mebestî. [S2].

Sedema bingehîn

Ji hêla xwerû, tabloyên Postgres ên di Supabase de çalakkirina eşkere ya Ewlekariya Asta Rêzê hewce dike da ku pêşî li gihandina giştî bigire [S1]. Dema ku pêşdebirek tabloyek çêdike lê ji bîr dike ku RLS çalak bike an jî polîtîkayên sînordar diyar neke, dibe ku databas daneyan ji her kesê ku xwediyê klîta anon [S1] ya projeyê ye re eşkere bike. Di serîlêdanên Next.js de, vekêşana ji alîyê server-ê û vekêşana ji hêla xerîdar ve jî pêdivî ye ku sazkirina xerîdar a Supabase bi baldarî were saz kirin, ji ber vê yekê naveroka bikarhênerê erêkirî digihîje qata databasê [S2].

Serastkirinên Beton

  • RLS çalak bike: ALTER TABLE "your_table_name" ENABLE ROW LEVEL SECURITY; ji bo her tabloya giştî ya ku daneya sepanê [S1] hilîne, bike.
  • Polîtîkayan pênase bikin: Polîtîkayên taybetî yên ku gihîştina li ser bingeha statûya piştrastkirina bikarhêner sînordar dikin biafirînin, wek CREATE POLICY "Users can see their own data" ON your_table_name FOR SELECT USING (auth.uid() = user_id); [S1].
  • Xerîdarên Server-Side Ewle: Dema ku Next.js bikar bînin, xerîdarên-rola karûbarê tenê server-ê bihêlin û hîn jî parzûnên xwedîtiyê bicîh bînin berî ku daneyan ji bikarhêneran re vegerînin [S2].

FixVibe çawa ji bo wê diceribîne

FixVibe jixwe Supabase RLS bi baas.supabase-rls vekolînek tenê-xwendewar dimeşîne. Îskaner URL-ya projeya Supabase û mifteya anona giştî ya ji hevokên JavaScript-ê yên heman eslê xwe kifş dike, ji PostgREST metadata tabloya giştî dipirse, û bi tenê-xwendina tixûbdar hewl dide ku piştrast bike ka dane bêyî danişîna bikarhêner têne xuyang kirin an na. Ew pêbaweriyên rola karûbarê têxe, nûvekirin, jêbirin, an bikar nayîne. Skandina repoyê di heman demê de dikare vê yekê berê jî bi navgîniya repo.supabase.missing-rls ve bigire, ku koçên SQL-ê yên ku bêyî ENABLE ROW LEVEL SECURITY tabloyên gelemperî diafirînin nîşan dide.