Что я узнал за пять лет проведения аудитов кода

[Aleksandr-JS-Developer]

Среди разработчиков обычно таится хотя бы один энтузиаст по защите данных

Я такой)

Увидев мой XSS эксплойт на нашем сайте (можно вытянуть одним GET запросом: email, телефон, имя, id, id гугл метки, сессию...), хоть уязвимость и закрыли, но как-то никто не оценил...

[panzerfaust]

Первые два пункта - золотые слова.

Простота дает лучший результат, чем заумь

Когда на одном из прошлых проектов мы решили писать строго по лучшим практикам (KISS, DRY, YAGNI, SOLID) и с целью, чтобы даже пёс бродячий мог код понять, то снизилось кратно не только количество багов, но и объем репортов Checkmarx и NexusIQ.

[Sergeant101]

Простота в понимании автора = запутанность.

А как известно "Сложное лучше чем запутанное".

[themen2]

А что вы пишете и на каком стеке

[panzerfaust]

Пишу вообще или писал тогда? Тогда это было хитровыдуманное приложение, скажем так, для DevOps на тривиальном стеке Angular + Java + Spring + PG.

[andreishe]

проводить сериализацию и десериализацию вместо того, чтобы использовать JSON

Wat? А преобразование в/из JSON - это не де/сериализация? Или «использовать JSON» можно как-то иначе?

[wolfandman]

Имеется в виду сериализовать объекты вместо данных json

[TiGR]

В шестом пункте странные рассуждения про новые фреймворки и PHP. Актуальные фреймворки в PHP при генерации клиентского кода уже много лет как все имеют автоматическое экранирование данных работающее по умолчанию. Что blade в Laravel, что twig в Symfony и иже с ним. А из текста создаётся впечатление будто экранирование есть только в реакте.

[AlexVRC]

На пыхе куча чего старого до сих пор работает. И на php5+ сегодня есть куча проектов, которые работают и проносят пользу, конечно, с безопасностью и прочими вопросами там не все гладко