这速度
顺带了解了一点 nosql 注入的东西,之前没什么概念。这 video 主要说的是 mongodb,nosql 虽然不是字符串命令,但 object 命令也是同样可注入的。
比如 $gte, $nin, $where 都可以用来做坏事。防御手段就是,对 userinput 做 assertion,或者用对应 ORM 库。
总之应对注入的铁律 never trust *any* user input,这是变不了的。
这速度
顺带了解了一点 nosql 注入的东西,之前没什么概念。这 video 主要说的是 mongodb,nosql 虽然不是字符串命令,但 object 命令也是同样可注入的。
比如 $gte, $nin, $where 都可以用来做坏事。防御手段就是,对 userinput 做 assertion,或者用对应 ORM 库。
总之应对注入的铁律 never trust *any* user input,这是变不了的。
Copyright © 2024 yet Another
Theme by Anders Noren — Up ↑