11
A
回答
16
使用其中一个受支持的驱动程序。不要将字符串反序列化为JSON并将它们作为查询传递,例如不”做到这一点(在Ruby中):
collection.send(query_type, JSON.parse(parameters))
其中query_type
和parameters
是从表单来的字符串。尽管如此,你将不得不犯罪。
由于没有查询语言,因此没有相同的注射空间。 SQL注入攻击可能的部分原因是要采取的操作(SELECT
,UPDATE
,DELETE
等)是查询字符串的一部分。 MongoDB和许多其他较新的数据库不能像那样工作,而是该操作是API的一部分。在SQL驱动程序只有query
和某些情况下exec
,MongoDB有find
,update
,insert
和remove
。
1
大部分车手都在这里您构建查询,BSON文档的语言表示的设置。你打算用什么语言来使用mongo?
5
您可以在where子句中使用Javascript构建MongoDB查询,这里可能会发生注入。这里解释如何防止这种情况:http://www.mongodb.org/display/DOCS/Do+I+Have+to+Worry+About+SQL+Injection
1
是的,通过使用正则表达式搜索。例如:假设您通过用户名进行检查,并且您没有使用EQ操作。 如果我通过[a-z]例如,我将绕过您的登录操作:)。
但无论如何,它非常依赖于解决方案中如何实现事物的逻辑。
相关问题
- 1. 在Play Framework中注入MongoDB实例[java]
- 2. MongoDB如何避免SQL注入混乱?
- 3. 避免代码注入与MongoDB的
- 4. Node.js流写入MongoDB - 关注性能
- 5. MongoDb Morphia写关注
- 6. MongoDb注册类地图
- 7. MongoDB中的嵌套注释
- 8. 在播放java中注入构造函数的错误mongodb
- 9. 的MongoDB副本集写入关注行为
- 10. C#MongoDb依赖注入和控制反转
- 11. 将依赖项注入到mongodb实体中
- 12. 加密JavaScript代码,以防止MongoDB中的JavaScript注入?
- 13. 注入被注入类
- 14. 注入值将被注入
- 15. 插入ArrayList mongodb
- 16. MongoDB和“加入”
- 17. 使用依赖注入来注入依赖注入器
- 18. 同步写入MongoDB
- 19. mongodb dataypes导入时
- 20. Mongodb嵌套插入
- 21. Mongodb导入错误
- 22. 插入和MongoDB中
- 23. MongoDB - Morphia嵌入式
- 24. Mongodb异步插入
- 25. Mongodb插入&排序
- 26. 器输入/ MongoDB中
- 27. symfony2:表单注入依赖注入
- 28. Symfony 3.3将注入库注入服务
- 29. AngularJS $注入服务注入错误
- 30. DbContext,注入还是不注入?
您能否用您打算与mongo连接的语言来澄清您的问题? – 2010-11-12 18:48:02
问题已更新 – Mark 2010-11-13 16:25:25