Если вы передаете параметры $_GET (или $_POST) своим запросам, убедитесь, что они сначала приводятся к строкам. Пользователи могут вставлять ассоциативные массивы в запросы GET и POST, которые затем могут стать нежелательными $-запросами.
Довольно безобидный пример. Предположим, вы ищете информацию о пользователе по запросу http://www.example.com?username=bob. Ваше приложение создает запрос $q = new \MongoDB\Driver\Query( [ 'username' => $_GET['username'] ]).
Кто-то может подорвать это, получив http://www.example.com?username[$ne]=foo, который PHP волшебным образом превратит в ассоциативный массив, превратив ваш запрос в $q = new \MongoDB\Driver\Query( [ 'username' => [ '$ne' => 'foo' ] ] ), который вернет всех пользователей, не имеющих имени "foo" (вероятно, всех ваших пользователей).
От этой атаки достаточно легко защититься: убедитесь, что параметры $_GET и $_POST соответствуют ожидаемому типу, прежде чем отправлять их в базу данных. PHP имеет функцию filter_var(), чтобы помочь с этим.
Обратите внимание, что этот тип атаки может использоваться с любым взаимодействием с базой данных, которое находит документ, включая команды update, upserts, delete и findAndModify.
Смотрите » основную документацию для получения дополнительной информации о проблемах SQL инъекций в MongoDB.