MongoDB中的JavaScript NoSQL注入预防
如何防止将JavaScript NoSQL注入MongoDB?
我正在开发Node.js应用程序req.body,并且将json对象(即json对象)传递到了mongoose模型的save函数中。我以为幕后有保障措施,但事实并非如此。
回答:
我的答案不正确。请参考其他答案。
-
客户端程序在MongoDB中组装查询时,将构建BSON对象而不是字符串。因此,传统的SQL注入攻击不是问题。
有关详细信息,请遵循文档
避免使用eval可以执行任意JS的表达式。如果您从用户那里获取输入内容并且eval像表达式一样运行而不清除输入内容,则可能会搞砸。正如JoBu1324所指出的那样where,,mapReduce和等操作group允许直接执行JS表达式。
以上是 MongoDB中的JavaScript NoSQL注入预防 的全部内容, 来源链接: utcz.com/qa/418823.html
