MongoDB menghindari potensi masalah dengan tidak menguraikan.
API apa pun, di mana pun, yang melibatkan penyandian data pengguna dalam teks berformat yang diuraikan memiliki potensi bagi penelepon dan penerima untuk tidak setuju tentang bagaimana teks itu harus diuraikan. Ketidaksepakatan ini dapat menjadi masalah keamanan ketika data disalahartikan sebagai metadata. Ini benar apakah Anda sedang berbicara tentang string format printf, termasuk konten yang dibuat pengguna dalam HTML, atau menghasilkan SQL.
Karena MongoDB tidak mengurai teks terstruktur untuk mencari tahu apa yang harus dilakukan, tidak ada kemungkinan salah mengartikan input pengguna sebagai instruksi, dan karenanya tidak ada kemungkinan lubang keamanan.
Kebetulan saran untuk menghindari API yang memerlukan penguraian adalah item 5 di http://cr.yp.to/qmail/guarantee.html. Jika Anda tertarik untuk menulis perangkat lunak yang aman, 6 saran lainnya juga layak untuk dilihat.
Pembaruan (2018):Jawaban asli seperti yang saya berikan tetap benar sejauh pengetahuan saya. Dari titik apa yang dikirim ke MongoDB hingga apa yang dikirim kembali, tidak ada serangan injeksi SQL. Serangan injeksi yang saya ketahui terjadi di luar MongoDB dan sebenarnya merupakan masalah dalam cara bahasa dan pustaka eksternal mengatur struktur data yang akan diteruskan ke MongoDB. Selanjutnya lokasi kerentanan adalah bagaimana data diurai dalam perjalanan menjadi struktur data. Oleh karena itu, jawaban asli secara akurat menjelaskan cara menghindari serangan injeksi, dan apa yang membuat Anda berisiko mengalaminya.
Tapi akurasi ini adalah kenyamanan dingin untuk seorang programmer yang terkena serangan injeksi dari cacat yang tidak jelas dalam kode mereka sendiri. Beberapa dari kita membedakan antara alat eksternal dan semua lapisan antara kode kita dan alat eksternal itu. Dan faktanya tetap membutuhkan kewaspadaan dari pihak kita untuk mengantisipasi dan menutup serangan injeksi. Dengan semua alat. Dan ini akan tetap terjadi di masa mendatang.
