mongodb 处理文件夹上的查询数组参数

oxiaedzo  于 2023-02-07  发布在  Go
关注(0)|答案(1)|浏览(122)

我试图创建漏洞noSql注入与 flask 和mongo数据库。我试图创建路由为我的应用程序与查询参数,并与数组参数卡住。这里是我的代码:

@app.route("/get_test", methods=["GET"])
def test():
    name = request.args.get("name")

路线是这样的http://localhost:3214/get_test?name ["$ne”]=test当我期望得到name ={'name':{"$ne”:'test'}}实际上我得到的name = None,因为现在的键是“name ['$ne']”我可以在flask上构建这样的noSql注入吗?或者它只是nodeJ和Php的东西?
我试过使用mongo-query-manager库,但没有用。args = list(request.args.to_dict()),但没有帮助

3bygqnnd

3bygqnnd1#

你想做的事情在flask中是不可能的,不可能的意思是你在字符串参数中发送的内容是flask不可读的。如果你想读name = {'name':{"$ne":'test'}},那么就把dict作为参数发送,然后做json.loads(request.args.get("name"))把字符串dict转换成python dict。

相关问题