Атака с помощью инъекций в запросе

Если вы передаёте параметры $_GET (или $_POST) своим запросам, убедитесь, что они сначала приводятся к строкам. Пользователи могут вставлять ассоциативные массивы в запросы GET и POST, которые затем могут стать нежелательными $-запросами.

Довольно безобидный пример. Предположим, вы ищете информацию о пользователе по запросу http://www.example.com?username=bob. Ваше приложение создаёт запрос $q = new \MongoDB\Driver\Query( [ 'username' => $_GET['username'] ]).

Кто-то может подорвать это, получив http://www.example.com?username[$ne]=foo, который PHP волшебным образом превратит в ассоциативный массив, превратив ваш запрос в $q = new \MongoDB\Driver\Query( [ 'username' => [ '$ne' => 'foo' ] ] ), который вернёт всех пользователей, не имеющих имени "foo" (вероятно, всех ваших пользователей).

От этой атаки достаточно легко защититься: убедитесь, что параметры $_GET и $_POST соответствуют ожидаемому типу, прежде чем отправлять их в базу данных. PHP имеет функцию filter_var(), чтобы помочь с этим.

Обратите внимание, что этот тип атаки может использоваться с любым взаимодействием с базой данных, которое находит документ, включая команды update, upserts, delete и findAndModify.

Смотрите » основную документацию для получения дополнительной информации о проблемах SQL инъекций в MongoDB.