Sử dụng một trong các trình điều khiển được hỗ trợ. Không deserialize các chuỗi dưới dạng JSON và chuyển chúng dưới dạng truy vấn, ví dụ:không làm điều này (trong Ruby):
collection.send(query_type, JSON.parse(parameters))
ở đâu query_type
và các tham số parameters
là các chuỗi đến từ một biểu mẫu. Tuy nhiên, bạn sẽ phải thực sự ngu ngốc về mặt hình sự nếu làm điều này.
Vì không có ngôn ngữ truy vấn nên không có cùng một chỗ để tiêm. Một phần lý do có thể xảy ra các cuộc tấn công chèn SQL là hành động cần thực hiện (SELECT
, UPDATE
, DELETE
, v.v.) là một phần của chuỗi truy vấn. MongoDB và nhiều cơ sở dữ liệu mới hơn khác, không hoạt động như vậy, thay vào đó hành động là một phần của API. Trường hợp trình điều khiển SQL chỉ có query
và trong một số trường hợp exec
, MongoDB có find
, update
, insert
và remove
.