标签: mongodb
我创建了一个有趣的API,我想知道是否存在我没想到的安全问题。所以基本上我的get路由允许用户发送整个字符串化的mongo查询,然后我将其传递给mongo驱动程序。
我确保包含$ where或function的任何查询都无效。除此之外,我无法通过允许客户端发送查询来考虑我可能遇到的任何其他问题。
我真的很想听听你的想法,我在这里错过了一些非常明显的东西吗?