Ik ben bezig om een aantal MySQL tabellen over te zetten naar MongoDB.
En nu ben ik aan het kijken naar hoe het zit met het beveiligen tegen NoSQL injection in Mongo. We werken in PHP.
Waar je bij MySQL mysql_real_escape_string() kunt gebruiken, is er niet zo'n escape functie voor Mongo.
Na het zoeken in de docs van Mongo zelf, kwam ik op deze paginas uit:
http://us.php.net/manual/en/mongo.security.php
http://www.idontplaydarts...njection-in-php-at-least/
Begrijp ik dus goed dat Mongo beveiligt is tegen injection door (string) voor de variabele te zetten in de criteria bij find()?
Ik vraag me serieus af of de beveiliging tegen injection bij Mongo écht zo makkelijk te implementeren is? De applicatie wil ik goed beveiligen, en mijn gevoel zegt dat dit wel heel makkelijk (misschien te makkelijk) is als beveiliging.
En nu ben ik aan het kijken naar hoe het zit met het beveiligen tegen NoSQL injection in Mongo. We werken in PHP.
Waar je bij MySQL mysql_real_escape_string() kunt gebruiken, is er niet zo'n escape functie voor Mongo.
Na het zoeken in de docs van Mongo zelf, kwam ik op deze paginas uit:
http://us.php.net/manual/en/mongo.security.php
http://www.idontplaydarts...njection-in-php-at-least/
Begrijp ik dus goed dat Mongo beveiligt is tegen injection door (string) voor de variabele te zetten in de criteria bij find()?
Ik vraag me serieus af of de beveiliging tegen injection bij Mongo écht zo makkelijk te implementeren is? De applicatie wil ik goed beveiligen, en mijn gevoel zegt dat dit wel heel makkelijk (misschien te makkelijk) is als beveiliging.
