- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
我在玩node.js , express , 和 mongoose .
为了立即启动和运行,我将 Express 查询字符串对象直接传递给 mongoose 查找函数。我很好奇的是这种做法在实时应用程序中会有多危险。我知道 RDBMS 极易受到 SQL 注入(inject)的攻击。除了“清理输入”的好建议之外,这段代码有多邪恶:
app.get('/query', function (req, res) {
models.findDocs(req.query, function (err, docs) {
res.send(docs);
});
});
意味着对 http://localhost:8080/query?name=ahsteele&status=a
的 get 请求只会将以下内容插入 findDocs 函数:
{
name: 'ahsteele',
status: 'a'
}
这感觉很恶心有很多原因,但它有多不安全?将查询参数传递给 mongodb 的最佳实践是什么? express 是否提供任何开箱即用的 sanitizer ?
最佳答案
就注入(inject)问题而言,就像使用 SQL 一样,风险要低得多……尽管理论上可以通过未知的攻击向量来实现。
数据结构和协议(protocol)是二进制和 API 驱动的,而不是利用特定领域语言中的转义值。基本上,您不能只是欺骗解析器在末尾添加“;db.dropCollection()”。
如果它只用于查询,它可能没问题......但我仍然会提醒你使用一点点验证:
另外,请记住,空查询会返回所有内容。您可能希望对该返回值进行限制。 :)
关于node.js - 直接从 URL 查询字符串提供的 mongo 查询有多危险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15917400/
编辑:澄清一下,我明白为什么这段代码不起作用,我并不是要修复它,而是想了解如果这段代码可以在没有语义错误的情况下编译会有什么危险。 我发现下面的代码会导致静态语义错误。我知道这是因为 std::lis
我想知道 C# 枚举以及重复值会发生什么。我创建了以下小程序来测试: namespace ConsoleTest { enum TestEnum { FirstElem
正如我在另一个 SO 问题中指出的那样,我遇到了 this article .当我通过 MSVC7.1 编译 boost 1.40 时出现了这个问题,并且弹出了几个 C4251 警告。 现在,在阅读上
我有以下弹出窗口代码(客户端请求)。它使用 eval ,我知道这是危险的。有没有办法重写下面的脚本,使其不使用 (eval)? /* exported popup_default , popup_he
NTFS 文件可以有对象 ID。可以使用 FSCTL_SET_OBJECT_ID 设置这些 ID .然而,msdn article说: Modifying an object identifier c
我一直在学习命令行参数解析。关于这个已经有很长的线索了,我不想在这里挑起一个: Using getopts in bash shell script to get long and short com
这个问题在这里已经有了答案: How to configure ContextMenu buttons for delete and disabled in SwiftUI? (4 个回答) 4 个月
为什么在 linux 的中断处理程序中禁止 printk 或 (I/O)。?在什么情况下中断处理程序中的 I/O 会导致 linux 系统中的死锁? 最佳答案 关于 printk(),它是侵入性的。例
不是 Invoking virtual function and pure-virtual function from a constructor 的重复项: 以前的问题与 C++ 03 相关,而不是
我正在使用 lateinit 属性以避免使用 ?运算符(operator)。我有很多 View 属性是第一次在 getViews() 函数中分配的。如果该功能不存在,我的应用程序将与来自 Kotlin
我最近在使用 fputs 时遇到了问题:当使用 fputs 在文本文件中打印一些字符串时,我碰巧得到了除 A-Z、a-z、0-9 之外的其他字符(不属于字符串的字符) .我绝对确保所有字符串都以空字符
在仅包含字节数组的结构上使用 #pragma pack(1) 是否危险/有风险?例如。这个: #pragma pack(1) struct RpcMessage { uint8_t proto
我是一名优秀的程序员,十分优秀!