Gebruik een van de ondersteunde stuurprogramma's. Deserialiseer strings niet als JSON en geef ze door als queries, b.v. doe dit niet (in Ruby):
collection.send(query_type, JSON.parse(parameters))
waar query_type en parameters zijn strings die uit een formulier komen. Je moet wel crimineel dom zijn om dit te doen.
Omdat er als zodanig geen zoektaal is, is er niet dezelfde ruimte voor injectie. Een deel van de reden dat SQL-injectie-aanvallen mogelijk zijn, is dat de te nemen actie (SELECT , UPDATE , DELETE , enz.) maakt deel uit van de queryreeks. MongoDB en vele andere nieuwere databases werken niet zo, in plaats daarvan is de actie een onderdeel van de API. Waar SQL-stuurprogramma's alleen query . hebben en in sommige gevallen exec , MongoDB heeft find , update , insert en remove .