Za NodeJS vrijede neka opcenita pravila kao i za "client side" javascript, eval je zlo (a jos je i sporo zlo) pa ga treba izbjegavati jer daje napadacu mogucnost da izvrti svoj kod. Nista novo u js svijetu. Naravno, nikad ne vjerujte klijentu, valjda pravilo broj jedan sto se tice sigurnosti, treba provjeriti sve sto dolazi od klijenta i nije losa ideja postaviti ogranicenja gdje god mozete. Escape i unescape su vam prijatelji sto se tice stringova itd.
Ali ono pravo zlo i najveci propusti dolaze sa losim programiranjem. Pod losim mislim na ne testiran kod, memory leakove ili ako ne pisete error handlere jer ste tako super i vas kod ne baca greske ikad
u slucaju da imate memory leak, mozete vrlo lako napuniti memoriju do vrha sto daje vasem napadacu opciju da vam zaflooda server sa nekim jednostavnim requestom. Ako nemate error handlere, a napadac napravi nesto sto niste ocekivali, aplikacija vam pada, u tom slucaju padne i ne dize se ili ako ste pokrenuli app sa nekim watchdogom kao npr. forever modul, app se restarta ali zato puca svima, ne samo vama kao sto je slucaj recimo sa php-om (u php-u padne 1 thread na kojem je korisnik), ali kod NodeJSa je drugacija prica buduci da je single threaded tako da je vise 1 za sve i svi za jednog kad pricamo o errorima
