MongoDB中的JavaScript NoSQL注入预防
我的答案不正确。请参考其他答案。
-
客户端程序在MongoDB中组装查询时,将构建BSON对象而不是字符串。因此,传统的sql注入攻击不是问题。
有关详细信息,请遵循文档
避免使用eval可以执行任意JS的表达式。如果您从用户那里获取输入内容并且eval像表达式一样运行而不清除输入内容,则可能会搞砸。正如JoBu1324所指出的那样where,,mapReduce和等操作group允许直接执行JS表达式。
eval
where
mapReduce
group
你尚未登录,登录后可以
和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进,让解决方法与时俱进
联系我
602392714
清零编程群