没东西写了，写点还没在博客上发的流水账。

一个月前，一款偽中国語掲示板 APP——「対多」，横空出世，迅速火爆全网。开发者起初使用 firebase 作为后端，但 APP 过于火爆，打穿账单，开发者随后切换到了 supabase 以降低成本。

supabase 简单来说是 firebase 的代餐，提供 PostgreSQL实例+PostgREST+各语言SDK，以及一些封装好了的常用后端功能实现（如用户登录、用户注册等）。你可以通过 SDK 或 HTTP API 的方式执行来操作它的 PostgreSQL 数据库，直接把数据库当成后端。

反编译一下 APP 就能找到它的数据库地址。

本来只是觉得好玩然后想存它，结果一通鼓捣，发现它数据库的 Row Security Polices (或 Row Level Security) 有逻辑问题。

---

対多它主要有 posts 和 comments 两个表。

它设置了 RLS 规则，限制用户只能删除由自己创建的 post (if post.created_by == .id)，没毛病。（comment 同理）

但是它没有限制用户 UPDATE 别人的 post 或 comment，所以可以把别的 post/comment 的 created_by 改成自己。然后就能删任意帖子了。

发现问题之后邮件反馈给了开发者，之后开发者修了 RLS 规则。

---

---

Filed under: 未分类 - @ 2025-01-14 06:24