对于 elasticsearch，需要类似于防 sql 注入那一套代码吗？

当然需要

不需要吧，可能是我水平太次，想不到任何注入的例子。

对于可执行 sql，你必须得防注入，不然好好的 select，通过注入给你带上一段 delete，对你的数据可是毁灭性的

1. es 的 GET 的请求不会造成数据改变，不像 sql 语句 select 被注入后会变成 update delete 等改变数据的 sql 。
2. 敏感数据，重要数据，不建议放到 es 里面。

SQL 的核心用法就是拼接字符串，所以其注入脆弱性是天生的，因为其只做到了语义上的结构化并没有做到格式上的结构化，用法就是拼接 SQL 字符串，所以很容易破坏掉预期的语义结构。JSON(YAML)、XML 等格式因为本身可以很容易对象化，对对象的操作是被限制在对象提供的模式内的，所以天生具备对注入的抗性。

只要你前后端严格按照 JSON 格式来处理数据，不在序列化后进行字符串拼接，通常不会有注入风险。

剩下的就是不管用什么都要做好的安全策略，比如限制好查询的数据量避免全库导出。

我们的项目，都用 Solr 做搜索。每周导出搜索记录，都会对着一堆 SQL 注入语句而无奈地苦笑