2013-08-24 16 views
8

How does MongoDB address SQL or Query injection? wyjaśnia, w jaki sposób obsługiwać wstrzyknięcie zapytania za pomocą polecenia BSON podczas używania javascript na serwerze. Nie byłem w stanie wyśledzić, jak/czy Mongoose obsługuje wstrzyknięcie zapytania.Mongoose i Query Injection podczas korzystania z JavaScript?

W tym momencie mam dwa pytania:

  1. Czy Mongoose chroniące przed wstrzyknięciem zapytań (przy użyciu BSON lub innej metody)
  2. Jeśli tak, to czy są jakieś dziwactwa z jego wdrożenie że potrzeba deweloper być świadomym?

Odpowiedz

2

Mongoose nie chroni przed wstrzyknięciem zapytania, więc niestety będziesz musiał wykonać własne wykrywanie wstrzyknięcia zgodnie z wytycznymi podanymi powyżej.

+3

mangusta ma właściwości kastowe zgodnie ze schematem. Czy możesz wyjaśnić, dlaczego to nie wystarczy? – JoBu1324

+0

To łącze odnosi się do dwóch rodzajów wstrzyknięć: wstrzyknięcia zapytania (za które kierowcy powinni zadbać, jeśli konstruują zapytania jako BSON) i wstrzyknięcia JavaScript (których można uniknąć przy ostrożnym/oszczędzającym użyciu $ gdzie, db.eval, mapReduce, i grupa). Czy możesz mówić bardziej szczegółowo o tym, w jaki sposób Mongoose (lub bazowy sterownik macierzysty Mongodb) radzi sobie z tymi dwoma rodzajami zastrzyków? – Aaron