Thông thường AE sẽ nghĩ là mình đã chỉ định chỉ user đó mới được phép edit thông tin của chính họ là đã an toàn. Điều này ban đầu đúng! Tuy nhiên khi mở rộng thêm một số tính năng mới nó bắt đầu phát sinh một số rủi ro nếu ko để ý.
Ví dụ ứng dụng của bạn có các gói tài khoản: Free, Pro, Ultra,... Khi xây dựng thêm tính năng user đăng ký gói.
Bạn sẽ promt kiểu: "Bây giờ hãy tiếp tục xây dựng tính năng cho phép người dùng đăng ký gói tài khoản. Có 3 loại tài
khoản sau Free, Pro, Ultra" => các AI vibe code như Lovable, v0,.. thường sẽ lưu trực tiếp thông tin này vào cùng bảng
user mà AE ko để ý.
Điều này có nghĩa là: Nếu user có quyền sửa tên/avatar của họ, họ cũng có thể tự... "sửa" luôn cái gói đăng ký từ Free sang Pro (để sử các tính năng trả phí) trực tiếp mà... rất hợp...
