Använd en av de drivrutiner som stöds. Deserialisera inte strängar som JSON och skicka dem som frågor, t.ex. gör inte det här (i Ruby):
collection.send(query_type, JSON.parse(parameters))
där query_type och parameters är strängar som kommer från en form. Du måste dock vara kriminellt dum för att göra det här.
Eftersom det inte finns något frågespråk som sådant finns det inte samma utrymme för injektion. En del av anledningen till att SQL-injektionsattacker är möjliga är att åtgärden som ska vidtas (SELECT , UPDATE , DELETE , etc.) är en del av frågesträngen. MongoDB, och många andra nyare databaser, fungerar inte så, istället är åtgärden en del av API:t. Där SQL-drivrutiner bara har query och i vissa fall exec , MongoDB har find , update , insert och remove .