编辑“︁Next.js数据库安全”︁（章节）

= Next.js数据库安全 =

== 介绍 ==  
'''Next.js数据库安全'''是指在Next.js应用程序中保护数据库免受未授权访问、注入攻击和数据泄露的一系列技术和最佳实践。由于Next.js支持服务端渲染（SSR）、静态生成（SSG）和API路由，数据库交互可能发生在客户端或服务端，因此需针对不同场景实施安全措施。本章将涵盖身份验证、输入验证、加密、ORM安全配置等核心内容。

== 核心安全原则 ==  
以下是Next.js数据库安全的核心原则：  
1. '''最小权限原则'''：数据库用户仅拥有必要权限。  
2. '''输入验证'''：防止SQL注入和其他注入攻击。  
3. '''加密'''：敏感数据（如密码）必须加密存储。  
4. '''环境变量管理'''：避免硬编码数据库凭据。  
5. '''ORM/查询构建器'''：使用参数化查询或ORM工具（如Prisma、TypeORM）。

== 安全实践 ==  

=== 1. 环境变量与凭据管理 ===  
在Next.js中，使用<code>.env.local</code>存储数据库连接字符串，并通过<code>next.config.js</code>配置环境变量：  

<syntaxhighlight lang="javascript">
// .env.local
DATABASE_URL="postgresql://user:password@localhost:5432/mydb?schema=public"

// next.config.js
module.exports = {
  env: {
    DATABASE_URL: process.env.DATABASE_URL,
  },
};
</syntaxhighlight>

'''注意'''：永远不要将<code>.env</code>文件提交到版本控制！

=== 2. 参数化查询与ORM ===  
直接拼接SQL语句会导致SQL注入风险。以下是错误与正确示例：  

'''错误示例'''（易受攻击）：  
<syntaxhighlight lang="javascript">
const query = `SELECT * FROM users WHERE username = '${username}'`;
</syntaxhighlight>

'''正确示例'''（使用Prisma ORM）：  
<syntaxhighlight lang="javascript">
import { PrismaClient } from '@prisma/client';
const prisma = new PrismaClient();

const user = await prisma.user.findUnique({
  where: { username: username },
});
</syntaxhighlight>

=== 3. 密码加密 ===  
使用<code>bcrypt</code>等库加密用户密码：  
<syntaxhighlight lang="javascript">
import bcrypt from 'bcrypt';

const saltRounds = 10;
const hashedPassword = await bcrypt.hash(password, saltRounds);

// 验证密码
const isMatch = await bcrypt.compare(inputPassword, hashedPassword);
</syntaxhighlight>

=== 4. API路由保护 ===  
在Next.js API路由中验证用户权限：  
<syntaxhighlight lang="javascript">
import { getSession } from 'next-auth/react';

export default async function handler(req, res) {
  const session = await getSession({ req });
  if (!session) {
    return res.status(401).json({ error: 'Unauthorized' });
  }
  // 执行数据库操作
}
</syntaxhighlight>

== 实际案例 ==  

=== 场景：电商网站用户数据保护 ===  
1. '''需求'''：用户登录后查看订单历史。  
2. '''实现步骤'''：  
   - 使用JWT验证API请求。  
   - 数据库查询限制仅返回当前用户的订单。  
   - 日志记录所有敏感操作。  

<mermaid>
sequenceDiagram
    participant Client
    participant Next.js API
    participant Database
    Client->>Next.js API: 请求订单历史（携带JWT）
    Next.js API->>Database: 验证JWT → 查询订单（WHERE user_id = ?）
    Database-->>Next.js API: 返回数据
    Next.js API-->>Client: 返回过滤后的订单
</mermaid>

== 高级主题 ==  

=== 行级安全（PostgreSQL） ===  
在PostgreSQL中启用行级安全（RLS）：  
<syntaxhighlight lang="sql">
ALTER TABLE orders ENABLE ROW LEVEL SECURITY;
CREATE POLICY user_orders_policy ON orders
    USING (user_id = current_user_id());
</syntaxhighlight>

=== 动态数据脱敏 ===  
使用SQL视图或应用层逻辑隐藏敏感字段：  
<syntaxhighlight lang="sql">
CREATE VIEW public_users AS
SELECT id, username, created_at FROM users;
</syntaxhighlight>

== 总结 ==  
Next.js数据库安全需要多层次的防御策略，包括：  
* 使用环境变量管理凭据。  
* 通过ORM或参数化查询避免注入。  
* 加密敏感数据。  
* 在API路由中实施权限检查。  
* 数据库层的额外安全措施（如RLS）。  

初学者应从基础实践开始，逐步掌握高级技术以构建健壮的应用程序。

[[Category:后端框架]]
[[Category:Next.js]]
[[Category:Next.js数据库集成]]