Комментарии 7
крайне полезная статья!
все по книге ?
Странно, для защиты от xss предлагается портить пользовательские данные, а для защиты от sql-i - нет. Не порядок! Есть ещё email-i, так что надо вырезать ещё и всё что похоже на markdown. И конечно же надо вырезать кавычки, чтобы злой хакер не испортил нам json.
Если вы про хранимый xss, то да, автор рассматривал этот вариант, да и я не вижу ничего плохого в том, чтобы, раз уж у меня кривые руки отловить это на входе - портить пользовательские данные (вырезать html теги) в базе.
Для защиты от sql инъекций достаточно экранирования, сомневаюсь, что кто то квери в базе хранит как строки.
По поводу "вырезать кавычки в json" и про почту - сюр какой-то))
запретить пользовательский ввод регулярных выражений
Может быть тут что-то другое имелось ввиду? Проверка регулярками на сервере вообще сомнительное удовольствие.
Книга вода
Безопасность веб-приложений