Если вы передаёте параметры $_GET (или $_POST)
своим запросам, убедитесь, что они сначала приводятся к строкам.
Пользователи могут вставлять ассоциативные массивы в запросы GET и POST, которые затем
могут стать нежелательными $-запросами.
Довольно безобидный пример. Предположим, вы ищете информацию о пользователе
по запросу http://www.example.com?username=bob.
Ваше приложение создаёт запрос
$q = new \MongoDB\Driver\Query( [ 'username' => $_GET['username'] ]).
Кто-то может подорвать это, получив
http://www.example.com?username[$ne]=foo, который PHP
волшебным образом превратит в ассоциативный массив, превратив ваш запрос в
$q = new \MongoDB\Driver\Query( [ 'username' => [ '$ne' => 'foo' ] ] ),
который вернёт всех пользователей, не имеющих имени "foo" (вероятно, всех ваших пользователей).
От этой атаки достаточно легко защититься: убедитесь, что параметры $_GET и $_POST соответствуют ожидаемому типу, прежде чем отправлять их в базу данных. PHP имеет функцию filter_var(), чтобы помочь с этим.
Обратите внимание, что этот тип атаки может использоваться с любым взаимодействием с базой данных, которое находит документ, включая команды update, upserts, delete и findAndModify.
Смотрите » основную документацию для получения дополнительной информации о проблемах SQL инъекций в MongoDB.