我试图创建漏洞noSql注入与 flask 和mongo数据库。我试图创建路由为我的应用程序与查询参数,并与数组参数卡住。这里是我的代码:
@app.route("/get_test", methods=["GET"])
def test():
name = request.args.get("name")路线是这样的http://localhost:3214/get_test?name ["$ne”]=test当我期望得到name ={'name':{"$ne”:'test'}}实际上我得到的name = None,因为现在的键是“name ['$ne']”我可以在flask上构建这样的noSql注入吗?或者它只是nodeJ和Php的东西?
我试过使用mongo-query-manager库,但没有用。args = list(request.args.to_dict()),但没有帮助
1条答案
按热度按时间3bygqnnd1#
你想做的事情在flask中是不可能的,不可能的意思是你在字符串参数中发送的内容是flask不可读的。如果你想读
name = {'name':{"$ne":'test'}},那么就把dict作为参数发送,然后做json.loads(request.args.get("name"))把字符串dict转换成python dict。