Атака за допомогою ін'єкцій у запиті

Якщо ви передаєте параметри $_GET(или$_POST) своїм запитам, переконайтеся, що вони спочатку наводяться до рядків. Користувачі можуть вставляти асоціативні масиви в запити GET і POST, які можуть стати небажаними $-запитами.

Досить нешкідливий приклад. Припустимо, ви шукаєте інформацію про користувача за запитом http://www.example.com?username=bob. Ваша програма створює запит $q = new \MongoDB\Driver\Query( [ 'username' => $_GET['username'] ])

Хтось може підірвати це, отримавши http://www.example.com?username\[$ne\]=foo, який PHP чарівним чином перетворить на асоціативний масив, перетворивши ваш запит на $q = new \MongoDB\Driver\Query( [ 'username' => [ '$ne' => 'foo' ] ] ), який поверне всіх користувачів, які не мають імені "foo" (ймовірно, всіх користувачів).

Від цієї атаки досить легко захиститись: переконайтеся, що параметри $_GET та $_POST відповідають очікуваному типу, перш ніж надсилати в базу даних. PHP має функцію filter_var(), щоб допомогти з цим.

Зверніть увагу, що цей тип атаки може використовуватися з будь-якою взаємодією з базою даних, яка знаходить документ, включаючи команди update, upserts, delete та findAndModify.

Смотрите» основну документацію для отримання додаткової інформації про проблеми ін'єкцій SQL в MongoDB.