MongoDB中JavaScript的存储与评估机制
当尝试在mongodb文档中直接插入bson.javascript类型的字段时,mongodb并不会自动执行这段javascript代码来获取其返回值,而是将其作为一个mongocode对象原样存储。这与关系型数据库中now()等函数在插入时即被评估的机制不同。例如,以下go语言代码片段尝试将lastseen字段设置为javascript代码:
func mongoNow() bson.JavaScript {
return bson.JavaScript{Code: "(new Date()).ISODate('YYYY-MM-DD hh:mm:ss')"}
}
// ... 在插入操作中
err := c.Insert(
struct{Serial, Priority, Url, LastSeen interface{}}{
Url: getInformedHost() + ":" + getRunningPortString(),
Priority: rand.Int(),
LastSeen: mongoNow() } // 此处传入的是bson.JavaScript对象
)其结果是LastSeen字段被存储为包含JavaScript代码的对象,而非代码执行后的值:
{
"_id": ObjectId("502d6f984eaead30a134fa10"),
"priority": 1694546828,
"url": "127.0.0.1:8080",
"lastseen": {
"_bsontype": "Code",
"code": "(new Date()).ISODate('YYYY-MM-DD hh:mm:ss')",
"scope": {}
}
}这表明MongoDB的insert操作本质上是存储数据,而不是执行复杂的业务逻辑或代码评估。若要实现JavaScript代码的服务器端评估,需要借助专门的机制。
利用eval命令进行服务器端JavaScript执行
MongoDB提供了eval命令,允许在服务器端执行任意JavaScript代码。该命令会执行传入的JavaScript字符串,并返回其结果。需要注意的是,eval命令通常会锁住数据库,影响并发性能,因此应谨慎使用。
MongoDB Shell中的eval示例
在MongoDB Shell中,可以直接使用db.eval()来执行JavaScript:
立即学习“Java免费学习笔记(深入)”;
// 执行简单的JavaScript并获取返回值
db.eval("new Date().toISOString()");
// 结果可能类似 "2023-10-27T10:30:00.000Z"
// 执行一个包含计算的JavaScript
db.eval("function add(a, b) { return a + b; } add(10, 20);");
// 结果为 30Go语言(mgo驱动)中的eval示例
对于Go语言,使用mgo驱动时,可以通过mgo.Database的Run()方法来执行eval命令。执行流程通常是:先通过eval获取所需的值,然后将该值用于文档的插入。
package main
import (
"fmt"
"log"
"time"
"gopkg.in/mgo.v2"
"gopkg.in/mgo.v2/bson"
)
func main() {
session, err := mgo.Dial("mongodb://localhost:27017")
if err != nil {
log.Fatalf("Failed to connect to MongoDB: %v", err)
}
defer session.Close()
db := session.DB("testdb")
collection := db.C("documents")
// 1. 使用eval命令获取服务器当前时间
var serverTime interface{} // eval返回的结果类型可能为BSON Date, String等,用interface{}接收更通用
err = db.Run(bson.M{"eval": "new Date();"}, &serverTime)
if err != nil {
log.Fatalf("Failed to execute eval command for server time: %v", err)
}
fmt.Printf("Server-side evaluated date: %v (Type: %T)\n", serverTime, serverTime)
// 2. 将eval获取的值用于文档插入
docToInsert := bson.M{
"name": "DocumentWithServerTime",
"description": "This document includes a timestamp evaluated on the MongoDB server.",
"creationTime": serverTime, // 将eval的结果赋值给字段
}
err = collection.Insert(docToInsert)
if err != nil {
log.Fatalf("Failed to insert document: %v", err)
}
fmt.Println("Document inserted successfully with server-side evaluated time.")
// 另一个eval示例:执行一个简单的计算
var sumResult float64
err = db.Run(bson.M{"eval": "function calculateSum(a, b) { return a + b; } calculateSum(15, 25);"}, &sumResult)
if err != nil {
log.Fatalf("Failed to execute eval for sum: %v", err)
}
fmt.Printf("Server-side evaluated sum: %f\n", sumResult)
}通过system.js存储和重用JavaScript函数
为了避免每次都发送完整的JavaScript代码字符串,MongoDB提供了system.js集合,用于存储可重用的服务器端JavaScript函数。这些函数可以在后续的eval命令中直接调用。
存储函数到system.js
// 在MongoDB Shell中存储一个名为"getServerTime"的函数
db.system.js.save({
_id: "getServerTime",
value: function() {
return new Date(); // 返回当前服务器时间
}
});
// 存储另一个计算函数
db.system.js.save({
_id: "multiply",
value: function(a, b) {
return a * b;
}
});调用system.js中存储的函数
一旦函数存储在system.js中,就可以通过eval命令来调用它们。
// MongoDB Shell中调用
db.eval("getServerTime()");
db.eval("multiply(7, 8)"); // 结果为 56
// Go语言(mgo驱动)中调用
// 调用存储的getServerTime函数
var storedServerTime interface{}
err = db.Run(bson.M{"eval": "getServerTime();"}, &storedServerTime)
if err != nil {
log.Fatalf("Failed to call stored function getServerTime: %v", err)
}
fmt.Printf("Result from stored function 'getServerTime': %v\n", storedServerTime)
// 调用存储的multiply函数
var productResult float64
err = db.Run(bson.M{"eval": "multiply(12, 5);"}, &productResult)
if err != nil {
log.Fatalf("Failed to call stored function multiply: %v", err)
}
fmt.Printf("Result from stored function 'multiply': %f\n", productResult)注意事项与最佳实践
尽管eval命令和system.js提供了在MongoDB服务器端执行JavaScript的能力,但在实际应用中,它们的使用需要非常谨慎。
-
性能考量:
- 全局锁: eval命令在执行时会获取一个全局写锁,这意味着在eval执行期间,所有其他数据库操作(包括读操作)都将被阻塞。这严重影响了数据库的并发性能和吞吐量。
- 不适用于高并发: 因此,eval命令绝不应在高并发或对性能有严格要求的生产环境中使用。它更适合于一次性、低频的管理任务或调试。
-
安全性:
- 代码注入风险: 如果eval命令的JavaScript代码是基于用户输入动态构建的,存在严重的代码注入风险。恶意用户可能会注入恶意代码,导致数据泄露、破坏或拒绝服务。
- 权限管理: 即使是存储在system.js中的函数,也需要确保只有受信任的用户才能执行。
-
替代方案:
-
应用程序层处理: 对于大多数动态值的生成(如时间戳、UUID、计算结果),最推荐且最高效的方法是在应用程序代码中生成这些值,然后将它们作为普通数据插入到MongoDB中。这不仅避免了数据库锁,还提供了更好的可控性和调试性。
// Go语言中生成当前时间并插入 doc := bson.M{ "name": "AppGeneratedTimeDoc", "timestamp": time.Now(), // 在应用程序中生成时间 } err = collection.Insert(doc) -
MongoDB原生操作符(针对更新): 对于更新操作,MongoDB提供了许多高效的原生操作符,可以在服务器端原子性地执行特定任务。例如,$currentDate操作符可以原子性地将字段值设置为当前服务器时间或日期:
db.collection.update( { _id: ObjectId("someId") }, { $currentDate: { lastModified: true, lastModifiedDate: { $type: "date" } } } );虽然这不直接解决insert时的评估问题,但对于需要服务器端时间戳的场景,它提供了比eval更优的更新方案。
- 聚合管道(Aggregation Pipeline): 对于复杂的数据转换、计算和分析任务,聚合管道提供了强大且高效的服务器端处理能力,通常是比eval更好的选择。
-
应用程序层处理: 对于大多数动态值的生成(如时间戳、UUID、计算结果),最推荐且最高效的方法是在应用程序代码中生成这些值,然后将它们作为普通数据插入到MongoDB中。这不仅避免了数据库锁,还提供了更好的可控性和调试性。
总结
MongoDB的insert操作不会自动评估JavaScript代码,而是将其作为MongoCode对象存储。若需在服务器端执行JavaScript以获取字段值,可使用eval命令,或将可重用函数存储于system.js并通过eval调用。然而,eval命令存在严重的性能(全局锁)和安全(代码注入)问题,因此在生产环境中应尽量避免使用。对于动态值的生成,优先选择在应用程序层处理,或利用MongoDB提供的原生操作符(如$currentDate用于更新)和聚合管道,以确保数据库的性能、可伸缩性和安全性。
