1

在 nodeJS 中,我们可以通过以下方式获取 POST 数据:

<input type="text" name="doc[a]"/>

var doc = req.body.doc;

当我得到“doc”时,我使用 native-mongodb collection.insert(doc, ..) 插入 MongoDB

我想知道是否在做 POST 请求时,我注入了这种数据

doc[a][b][c][d][e][f][g][h][i][j][.]... = xxxx
doc[b] = yyy
doc[e] = zzz

我只需要 doc[a] 购买最终会在 Node 和 MongoDB 中拥有 doc.abcdfg.. 对吗?有什么好的解决方案可以防止这种情况发生?

4

1 回答 1

0

Information about MongoDB Injection can be found at the official docs. and Here are some security guidelines from PHP. The solution is pretty simple - type cast it to string.

于 2011-06-25T16:31:05.263 回答