SQL инъекции с базами данных noSQL?

Question

В настоящее время я использую mongoDB, и мне интересно, какие меры мы должны принять, чтобы гарантировать, что любые данные, которые могут вызвать проблемы, не будут сохранены.Я считаю, что обычные функции PHP, такие как mysql_escape_string, здесь не помогут ...

Есть ли SQL-инъекции для баз данных noSQL и особенно для mongoDB?
Если так, что мы можем сделать, чтобы защитить нас?из них?

Answer 1

См. Документация MongoDB :

Как правило, с MongoDB мы не строим запросы из строк, поэтому традиционные атаки SQL-инъекций не являются проблемой.

Есть и другие проблемы, о которых следует знать, поэтому стоит прочитать эту страницу.

Answer 2

Документация неверна. В PHP нужно быть осторожным с атаками с нулевым байтом (http://www.idontplaydarts.com/2011/02/mongodb-null-byte-injection-attacks/), а также с инъекцией объекта (http://www.idontplaydarts.com/2010/07/mongodb-is-vulnerable-to-sql-injection-in-php-at-least/)

).