drymonfidelia: Python+MongoDB 写的一个简单（虽然业务都很简单但是有九百多个接口，选型用 Python+MongoDB 就是为了往上面堆各种奇怪格式的简单接口方便）网站，拉日志排查发现有人提交了类似这种 Payload {"password":{"$ne":"111"}}，登录接口好解决，直接 str 转换一下字段，剩下九百多个接口过一遍工作量太大了还容易有漏，有人了解如果我加一个中间件遍历提交的 JSON 把 $ 开头的 key 全部过滤掉就安全了吗？ 每次用新技术必被坑，上次是被…