如果您使用的是 JavaScript，请确保任何跨越 PHP 的变量 - to-JavaScript 边界在 MongoDB\BSON\Javascript 字段中传递，而不是插值到 JavaScript 字符串。在查询、mapReduce 和 group 命令中使用子句时，以及您可能在任何其他时候都会出现这种情况 将 JavaScript 传递到数据库中。scope$where

例如，假设我们有一些 JavaScript 来问候数据库中的用户 原木。我们可以做到：

<?php
$m = new MongoDB\Driver\Manager;

// Don't do this!!!
$username = $_GET['field']; 

$cmd = new \MongoDB\Driver\Command( [
    'eval' => "print('Hello, $username!');"
] );

$r = $m->executeCommand( 'dramio', $cmd );
?>

但是，如果恶意用户传入一些 JavaScript 怎么办？

<?php
$m = new MongoDB\Driver\Manager;

// Don't do this!!!
$username = $_GET['field']; 
// $username is set to "'); db.users.drop(); print('"

$cmd = new \MongoDB\Driver\Command( [
    'eval' => "print('Hello, $username!');"
] );

$r = $m->executeCommand( 'dramio', $cmd );
?>

现在 MongoDB 执行 JavaScript 字符串。 这种攻击很容易避免：用来传球 从 PHP 到 JavaScript 的变量："print('Hello, '); db.users.drop(); print('!');"args

<?php
$m = new MongoDB\Driver\Manager;

$_GET['field'] = 'derick';
$args = [ $_GET['field'] ];

$cmd = new \MongoDB\Driver\Command( [
    'eval' => "function greet(username) { print('Hello, ' + username + '!'); }",
    'args' => $args,
] );

$r = $m->executeCommand( 'dramio', $cmd );
?>

这会向 JavaScript 作用域添加一个参数，该参数将用作参数 对于函数。现在如果 有人试图发送恶意代码，MongoDB会无害地打印。greetHello, '); db.dropDatabase(); print('!

使用参数有助于防止恶意输入被 数据库。但是，您必须确保代码不会转过来 并执行输入！最好首先避免在服务器上执行任何 JavaScript。

强烈建议您远离 » $where 子句，因为它会显著影响性能。哪里 可能，使用普通查询运算符或 » 聚合 框架。

作为 » MapReduce 的替代品，它使用 JavaScript，请考虑使用 » 聚合 框架。与 Map/Reduce 不同，它使用惯用语言来 构造查询，而无需编写和使用速度较慢的 JavaScript Map/Reduce所需的方法。

自 MongoDB 3.0 以来，不推荐使用 » eval 命令，也应避免使用。