11
A
回答
16
使用其中一個受支持的驅動程序。不要將字符串反序列化爲JSON並將它們作爲查詢傳遞,例如不」做到這一點(在Ruby中):
collection.send(query_type, JSON.parse(parameters))
其中query_type和parameters是從表單來的字符串。儘管如此,你將不得不犯罪。
由於沒有查詢語言,因此沒有相同的注射空間。 SQL注入攻擊可能的部分原因是要採取的操作(SELECT,UPDATE,DELETE等)是查詢字符串的一部分。 MongoDB和許多其他較新的數據庫不能像那樣工作,而是該操作是API的一部分。在SQL驅動程序只有query和某些情況下exec,MongoDB有find,update,insert和remove。
1
大部分車手都在這裏您構建查詢,BSON文檔的語言表示的設置。你打算用什麼語言來使用mongo?
5
您可以在where子句中使用Javascript構建MongoDB查詢,這裏可能會發生注入。這裏解釋如何防止這種情況:http://www.mongodb.org/display/DOCS/Do+I+Have+to+Worry+About+SQL+Injection
1
是的,通過使用正則表達式搜索。例如:假設您通過用戶名進行檢查,並且您沒有使用EQ操作。 如果我通過[a-z]例如,我將繞過您的登錄操作:)。
但無論如何,它非常依賴於解決方案中如何實現事物的邏輯。
相關問題
- 1. 如何注入到PARAMS MongoDB的@query
- 2. 在Play Framework中注入MongoDB實例[java]
- 3. 避免注入MongoDB和PHP的風險
- 4. MongoDB中的NoSQL注入防護
- 5. Node.js流寫入MongoDB - 關注性能
- 6. 的MongoDB:嵌入式用戶爲註釋
- 7. MongoDB如何避免SQL注入混亂?
- 8. 避免代碼注入與MongoDB的
- 9. mongodb寫關注
- 10. MongoDb Morphia寫關注
- 11. MongoDb註冊類地圖
- 12. MongoDB中的嵌套註釋
- 13. 注入被注入類
- 14. 注入值將被注入
- 15. 將注入值注入到註釋中?
- 16. 註釋注入和XML注入
- 17. 在播放java中注入構造函數的錯誤mongodb
- 18. 將依賴項注入到mongodb實體中
- 19. 加密JavaScript代碼,以防止MongoDB中的JavaScript注入?
- 20. C#MongoDb依賴注入和控制反轉
- 21. 的MongoDB副本集寫入關注行爲
- 22. 插入MongoDB中
- 23. 插入ArrayList mongodb
- 24. MongoDB和「加入」
- 25. MongoDB:如何在MongoDB中設計Twitter風格的關注者/關注模型?
- 26. 使用依賴注入來注入依賴注入器
- 27. Mongodb導入錯誤
- 28. 插入和MongoDB中
- 29. 同步寫入MongoDB
- 30. Mongodb嵌套插入
您能否用您打算與mongo連接的語言來澄清您的問題? – 2010-11-12 18:48:02
問題已更新 – Mark 2010-11-13 16:25:25