标签: php mongodb sql-injection
我目前正在使用mongoDB,我想知道我们应该采取什么措施来确保不会存储任何可能导致问题的数据。我相信像mysql_escape_string这样的普通PHP函数在这里不会有用......
mysql_escape_string
是否有针对noSQL数据库的SQL注入,尤其是mongoDB? 如果是这样,我们可以做些什么来保护我们免受他们的伤害?
答案 0 :(得分:6)
请参阅MongoDB's documentation:
通常,对于MongoDB,我们不是从字符串构建查询,因此传统的SQL注入攻击不是问题。
还有其他一些问题需要注意,所以值得给这个页面读一读。
答案 1 :(得分:3)
文档错误,在PHP中你需要注意空字节注入攻击(http://www.idontplaydarts.com/2011/02/mongodb-null-byte-injection-attacks/)以及对象注入(http://www.idontplaydarts.com/2010/07/mongodb-is-vulnerable-to-sql-injection-in-php-at-least/)