Как защититься от NoSQL Injection в MongoDB?

NoSQL Injection: { username: { $gt: "" }, password: { $gt: "" } } — возвращает всех пользователей обходя проверку пароля. express-mongo-sanitize убирает $ и . из req.body. Mongoose: передавай String(req.body.username) — принудительно кастуй к строке. Schema с type: String в Mongoose автоматически кастует, но явная проверка надёжнее. Никогда не передавай req.body напрямую в MongoDB запрос. Валидируй входные данные через zod/joi до передачи в запрос.