Комментарии 9
Среди разработчиков обычно таится хотя бы один энтузиаст по защите данных
Я такой)
Увидев мой XSS эксплойт на нашем сайте (можно вытянуть одним GET запросом: email, телефон, имя, id, id гугл метки, сессию...), хоть уязвимость и закрыли, но как-то никто не оценил...
Первые два пункта - золотые слова.
Простота дает лучший результат, чем заумь
Когда на одном из прошлых проектов мы решили писать строго по лучшим практикам (KISS, DRY, YAGNI, SOLID) и с целью, чтобы даже пёс бродячий мог код понять, то снизилось кратно не только количество багов, но и объем репортов Checkmarx и NexusIQ.
проводить сериализацию и десериализацию вместо того, чтобы использовать JSON
Wat? А преобразование в/из JSON - это не де/сериализация? Или «использовать JSON» можно как-то иначе?
В шестом пункте странные рассуждения про новые фреймворки и PHP. Актуальные фреймворки в PHP при генерации клиентского кода уже много лет как все имеют автоматическое экранирование данных работающее по умолчанию. Что blade в Laravel, что twig в Symfony и иже с ним. А из текста создаётся впечатление будто экранирование есть только в реакте.
Что я узнал за пять лет проведения аудитов кода