Mongoose — как реализуется очистка данных?

Question

[Руслан Шашков]

Подскажите, пожалуйста, перед отправкой запросов в Mongodb через Mongoose нужно ли фильтровать данные от юзера? Или она сама фильтрует все непосредственно перед отправкой запроса в Mongodb?

Answer 1

[Иван Старков]

В теории нужно фильтровать и валидить все, что приходит от пользователя.
Дело даже не в безопасности.
На практике конечно зависит от вашего запроса, но даже при хорошем раскладе, рано или поздно при получении некорректных данных вылезет какая нибудь странная mongo ошибка - что нибудь вроде parseError stackoverflow.com/questions/19546561/node-mongodb-... отловить которую будет долго, больно и обидно :-)
А при превалидации у вас сразу будет ответ на вопрос кто и зачем, а главное куда ввел некорректные данные.

Comments

[Руслан Шашков]

Это понятно, тут вопрос в другом. Я, долгое время работал с MySQL, там помимо валидации, переменные нужно перед вставкой в запрос экранировать функцией mysql_real_escape_string для безопасности от инъекций. Вот что-то подобное тут делать нужно?

[Руслан Шашков]

Или Mongoose сам весь потенциально опасный мусор отбрасыват?

[Иван Старков]

В Mongoose нет таких запросов как в mysql являющимися стрингом, да и в mysql если пользоваться prepare надобность в mysql_real_escape_string отпадает насколько я помню,
поэтому потенциального мусора можно не опасаться но
это если вы не используете $where, db.eval(), mapReduce, group подробности тут:
docs.mongodb.org/manual/faq/developers/#how-does-m...

[Руслан Шашков]

Спасибо, очень помогли!