NV
Демагогия пошла
Я искренне пытаюсь понять в чем отличие бизнесовой валидации от не бизнесовой
Size: a a a
2020 February 03
AO
нет таких полей, ну или почти нет. строковые поля всегда должны иметь ограничение по длине и часто - по регулярке. числовые - почти всегда по диапазону. исключений очень, очень мало.
Всего то различные идентификаторы и флаги
NV
Телефон — это обычное дата-поле с четко определенным форматом по регулярке
SA
Всего то различные идентификаторы и флаги
ну да, булеан можно не валидировать). а идентификаторы валидировать надо
AO
ну да, булеан можно не валидировать). а идентификаторы валидировать надо
У них обычно нет ограничений, как прикажешь проверять? Максимум UUID можно проверить
SA
Я искренне пытаюсь понять в чем отличие бизнесовой валидации от не бизнесовой
Легко. небизнесовая валидация - это прежде всего устойчивость и безопасность приложения. защита от бомбления огромными кусками данных, защита от мусора и разнообразных injections - sql, html, logging
AT
ну вообще парсинг должен защищать от инжекций
NV
Легко. небизнесовая валидация - это прежде всего устойчивость и безопасность приложения. защита от бомбления огромными кусками данных, защита от мусора и разнообразных injections - sql, html, logging
Ну это тоже не так
AT
блин нет, я не хочу принимать в этом участие.
SA
У них обычно нет ограничений, как прикажешь проверять? Максимум UUID можно проверить
100% - длину, отсутствие контрольных символов (< 0x20), отсутствие юникода. Это всё может быть вектором атаки
SA
Ну это тоже не так
разверни мысль?
NV
разверни мысль?
Не, я сваливаю из дискуссии, сорямба
SA
по-моему в неинтеллигентных кругах это называется "слился"
AO
100% - длину, отсутствие контрольных символов (< 0x20), отсутствие юникода. Это всё может быть вектором атаки
Вектор который уже учтен в jdbc?
SA
Вектор который уже учтен в jdbc?
между апи и jdbc может находиться логгирование, рендер хтмл и внешние сетевые вызовы) и jdbc защищает только от первого варианта - ограничение по длине
Oℕ
Олег, я чуть выше всё изложил. декларативное объявление ограничений на поля, аккумулирующий валидатор, объект ошибки содержит сообщение, текст ошибочного поля, полный путь к ошибочнуму полю от корня дерева объектов
Интересно, понятно
Oℕ
Олег, я чуть выше всё изложил. декларативное объявление ограничений на поля, аккумулирующий валидатор, объект ошибки содержит сообщение, текст ошибочного поля, полный путь к ошибочнуму полю от корня дерева объектов
А как выглядит декларация?
SA
Интересно, понятно
а вы как валидируете? у вас разве нет таких требований для публичных апи?
Oℕ
Она соединена с определением данных?
Oℕ
а вы как валидируете? у вас разве нет таких требований для публичных апи?
Кидаем ошибки