我正在为 NodeJS使用Mongoose ODM 包装器,但我担心注入攻击。假设我有以下架构:
const UserSchema = new mongoose.Schema({ userName: String, password: String });
如果我要执行如下所示的登录请求:
router.post('/login', (request, response) => {
const userName = request.body.userName;
const password = request.body.password;
User.findOne({ userName: userName }, function (error, user) {
// ... check password, other logic
});
});
我会接受以下 JSON 有效负载的注入攻击,它总是会找到一个用户:
{
"email": { "$gte": "" },
"password": { "$gte": "" }
}
我不关心密码,因为如果找到阻止任何实际登录的用户,它会被散列,但我想确保我的输入被清理,这样攻击者甚至不会到达那个点。
我知道在类似的StackOverflow 帖子中引用的mongo-sanitize NPM 包似乎删除了所有以“$”开头的 JSON 键。无论如何我都打算使用它,但我永远不会允许用户提交原始的、未解析的 JSON。在这种情况下,假设我做了正确的检查,在 userName 上调用 toString() 是一种好习惯吗?null
const userName = …