Sempre validar se username é único antes de validar o mesmo para o email

[aprendendofelipe]

Após o comentário do @luanmz (#186 (comment)) sobre ainda ser possível descobrir se um endereço de email está cadastrado no sistema através do PATCH /users/[username], verifiquei que ainda não havia cobertura de testes para o caso que ele citou.

Mudanças realizadas

Criei o teste e adequei o model user para sempre validar primeiro o username, o que elimina a vulnerabilidade citada.

A principal mudança é verificar results.rows.some ao invés de results.rows[0] para não depender da ordem dos usuários retornado na consulta. O restante é apenas uma refatoração adotando early return.

O ponto original da issue #186 ainda permanece aguardando contribuição. 👍

Tipo de mudança

• Correção de vulnerabilidade

Checklist:

• As modificações não geram novos logs de erro ou aviso (warning).
• Eu adicionei testes que provam que a correção ou novo recurso funciona conforme esperado.
• Tanto os novos testes quanto os antigos estão passando localmente.

[vercel]

The latest updates on your projects. Learn more about Vercel for Git ↗︎

Name	Status	Preview	Comments	Updated (UTC)
tabnews	✅ Ready (Inspect)	Visit Preview	💬 Add feedback	Aug 1, 2024 3:26pm

[luanmz]

Valeu pela citação no PR @aprendendofelipe, tua correção ainda foi mais interessante do que a que eu estava construindo aqui (não conheço tão bem a aplicação) e massa que tu associou um teste a ela. Eu estava pensando em algo assim:

if (results.rowCount > 0) {
    let isSameUsername = false
    for(let i = 0; i < results.rowCount; i++){
      isSameUsername = results.rows[i].username.toLowerCase() === userData.username?.toLowerCase();
      if (isSameUsername) {
        break
      }
    }