标签: mongodb security code-injection javascript-injection
网站数据 - 是MongoDB集合。按站点搜索使用此集合的索引$ text $搜索。我是否需要过滤外部数据进行MongoDB $文本搜索,或者无法对代码进行一些注入:
db.articles.find( { $text: { $search: $_GET['search'] } } )
在这种情况下,只需要在页面返回时替换html特殊字符。