MongoDB聚合$match查询使用技巧

一分耕耘，一分收获！既然都打开这篇《MongoDB 聚合 $match 查询构建技巧》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新文章相关的内容，希望对大家都有所帮助！

本文详解如何在 MongoDB 聚合管道中安全、准确地构造 `{$match: {...}}` 阶段，避免因误用 `JSON.stringify` 导致查询结构被破坏（如将操作符字符串化），并提供防注入的最佳实践方案。

在 MongoDB 聚合管道（Aggregation Pipeline）中，$match 阶段接收的是原生 BSON 查询对象，而非 JSON 字符串。你遇到的问题根源在于混淆了「值注入」与「查询结构序列化」：

• ❌ 错误写法：objectId: JSON.stringify({$eq: 'params.id'})
  → 将整个 { $eq: "params.id" } 对象转为字符串 '{"$eq":"params.id"}'，导致 MongoDB 解析为字面量字符串匹配，而非查询操作符。

• ❌ 错误理解：isDeleted: {$ne: true} 显示为 [Object] 是 console.log 的默认浅打印行为，并非实际数据损坏；该对象在驱动中完全可被正确序列化为 BSON。

✅ 正确做法是直接使用 JavaScript 对象字面量，让 MongoDB Node.js 驱动自动处理序列化：

const pipeline = [
  {
    $match: {
      objectId: params.id,        // 直接传入值（如 ObjectId 或字符串）
      isDeleted: { $ne: true }
    }
  },
  // 后续阶段...
];

⚠️ 安全提醒：若 params.id 来自用户输入（如 URL 参数、表单），需防范 NoSQL 注入攻击。例如，恶意输入 {"$gt": ""} 可能绕过预期的精确匹配。

? 推荐防护方案：

1. 使用 mongo-sanitize（轻量可靠）
   自动剥离所有 $ 开头的键名，防止操作符注入：

   npm install mongo-sanitize

   const sanitize = require('mongo-sanitize');
   const pipeline = [
     {
       $match: {
         objectId: sanitize(params.id), // 清洗后仅保留安全字符串
         isDeleted: { $ne: true }
       }
     }
   ];

2. 类型校验 + 显式转换（更严谨）
   若 objectId 应为 ObjectId，强制转换并捕获错误：

   const { ObjectId } = require('mongodb');
   if (!ObjectId.isValid(params.id)) {
     throw new Error('Invalid ObjectId format');
   }
   const pipeline = [
     {
       $match: {
         objectId: new ObjectId(params.id),
         isDeleted: { $ne: true }
       }
     }
   ];

3. 避免 JSON.stringify 用于查询对象
   JSON.stringify() 仅适用于日志调试或跨网络传输纯数据，绝不应用于构造查询条件——它会破坏 BSON 操作符结构。

? 总结：MongoDB 驱动原生支持嵌套查询对象，应直接传递 { $eq: value } 等结构；安全关键在于输入清洗与类型验证，而非字符串拼接或误序列化。

好了，本文到此结束，带大家了解了《MongoDB聚合$match查询使用技巧》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！