Баг с выводом личных данных

09 июля 2021, 17:00

Создано вэб приложение на node js.

Суть приложения: Аутентификация через стим и вывод личной информации из бд mysql.
Описание бага: При заходе первого человека в аккаунт ему отображаются его личные данные, но если в свой аккаунт заходит кто-то другой, то всем показывается информация последнего кто зашел в свой акк. Из догадок решения только создание каждому юзеру уникального id.
Но с точки зрения безопасности - это проблема. Да и запросы в бд идут не только SELECT, но и UPDATE.

Собственно сам код: Код

Буду рад помощи, так как не особо силен в node js. Но платформы лучше не нашел.

Upd: Может ли быть проблема в этом?

app.use(session({
   secret: 'your secret',
   name: 'name of session id',
   resave: true,
   saveUninitialized: true
}));

Upd2: Скорее всего проблема заключена в глобальной переменной playerData = [] из которой происходит вывод в ejs файлы. Если кто-то поможет с выводом - буду рад.

Answer 1

Скорее всего проблема в этой глобальной переменной

steamID = profile.id;
checkPlayerExist(steamID);

У вас в коде повсюду потенциальные SQL инъекции.

'SELECT name FROM armadb.players WHERE playerid = """' + playerId + '"""'

Answer 2

На самом деле проблема заключалась не в глобальной переменной steamID, а в глобальной переменной вывода playerData. Проблема была решена так:

 res.render('account', {
                user: req.user,
                playerCharName: playerData.charName,
                playercharNickname: playerData.charNickname,
                playercharSurname: playerData.charSurname,
                playerGold: playerData.gold
            });