Bonjour,

Je cherche un moyen de "sanitizer" les données issus de l'utilisateur et destinées a etre enregistrées dans ma base de données mongoDb. Je veux eviter que mon application execute des scripts malicieux (C'est une appli flask).

J'ai reussi a mettre en place un systeme de protection sur une autre appli express/js node js juste en implémentant un middleware

app.use(mongoSanitize())

Cependant je ne trouve pas de solution équivalente pour mon application flask.
J'ai essayé la solution suivante :

def my_escape(func):
    @wraps(func)
    def wrapped(*args, **kwargs):
        return escape(func(*args, **kwargs))
    return wrapped


@app.route("/")
@my_escape
def index():
    print(request.args.get('id')) // non protégé
    return request.args.get('id') // protégé contre injections HTML

Mais le probleme c'est que cela ne s'applique que pour le return , et ne protege que contre les attaques html et n'inclut pas les injections NoSQL.

Mon but est de proteger automatiquement tous les request.get_json() , request.args et les request.form contre tout type d'attaques et d'injection.

Des conseils ?

mmm, la bonne solution est de ne creer les requetes nosql qu'a partir de parametre et pas en concatenant des chaines de caracteres.

Le 09 juillet 2021 à 17:19:49 :
mmm, la bonne solution est de ne creer les requetes nosql qu'a partir de parametre et pas en concatenant des chaines de caracteres.

Cette methodde impliquerait des changements enormes dans mon code qui fait plusieurs milliers de ligne. N'y a t-il pas une maniere plus globale de le faire comme avec express js ?

https://github.com/noamt/python-mongo-sanitizer ?

Le 09 juillet 2021 à 20:26:04 :
https://github.com/noamt/python-mongo-sanitizer ?

OK merci