h🐴
пишешь в базу - юзай prepared statments, выводишь на страницу - шаблонизатор с htmlencode, передаешь в js - оберни в json_encode, передаешь в урле - urlencode() и т.д.
Size: a a a
2017 November 24
UM
пишешь в базу - юзай prepared statments, выводишь на страницу - шаблонизатор с htmlencode, передаешь в js - оберни в json_encode, передаешь в урле - urlencode() и т.д.
Понял. Спасибо!
h🐴
при этом санитайз не надо путать с валидацией
h🐴
валидировать данные и сообщать об ошибках юзеру надо как можно раньше
h🐴
на клиенте и на сервере
h🐴
но валидация это доменная логика - т.е. она зависит только от приложения, только приложение и твоя область знаний определяет, что такое "валидный ввод"
h🐴
а кодировка это транспортный уровень - уровень передачи данных из слоя в слой, он не зависит от приложения
M
хм интересный подход
M
тоесть исходя из вашей логики входящие данные ненужно очищать проверять на xss и всякую другую штуку?
M
а если старый проект и не используется PDO ?
h🐴
тоесть исходя из вашей логики входящие данные ненужно очищать проверять на xss и всякую другую штуку?
это вопрос валидации. что доменная логика говорит? если по смыслу юзер должен ввести число, то не стоит пропускать буквы. если просто текст - то зачем вставать на пути у юзера и неожиданно подменять его ввод, когда он об этом не просил
M
ну логично
M
я не спорю ) я интересуюсь)
h🐴
а если старый проект и не используется PDO ?
правила те же самые: есть доменный уровень, а есть транспортный
h🐴
надо применять правила кодирования сообразно уровню
h🐴
если не используется pdo, юзайте другие prepared statements, mysqli их тоже поддерживает
M
а есть где почитать про это более подробно, больно заинтересовало меня эта тема
h🐴
если никаких нету, то приложение практически наверняка уже уязвимо к sql injection
h🐴
а есть где почитать про это более подробно, больно заинтересовало меня эта тема
OWASP
h🐴
или про что именно?