Dyskusja | Bezpieczeństwo aplikacji - Filtrowanie danych od użytkownika., Zawsze przez aplikację, czy indywidualnie przez programistę? Opcje

[adbacz]

Chciałbym rozpocząć małe tête-à-tête pomiędzy opiniami na ten temat (IMG:style_emoticons/default/smile.gif)

Co sądzicie o tym, by w aplikacji domyślnie, zawsze filtrować dane pochodzące od użytkownika, a zwracać dane RAW tylko w tedy, gdy developer faktycznie tego chce? Przykład:

[PHP] pobierz, plaintext 
// Zwróci filtrowane
$name = $request->get('name');
// Zwróci RAW
$name = $request->getRaw('name');
[PHP] pobierz, plaintext 

Dodajemy tylko na końcu nazwy metody 'Raw', i zapobiegamy ewentualnym "zapominalskim" w filtrowaniu danych. Wiem, że powinno się tym pamiętać, bo to podstawówka, ale chodzi mi o same wady i zalety takiego rozwiązania. Jak na razie zauważyłem tylko jedno - 3 literki więcej w nazwie metody.

Jeśli ktoś nauczy się w danym narzędziu używać metody get(), to z przyzwyczajenia będzie jej używał, a gdy mu nie przejdzie to co chce to zauważy, i użyje getRaw(). W drugą stronę może być inaczej, bo jeśli przyzwyczai się do tego, że prosta metoda zwraca to co chce i zapomni testu, to przejdzie to dalej.

Ale to tylko moje gdybanie, może Wy macie inne zdanie na ten temat?

[adbacz]

[cite]Po co jest uczyć od razu człowieka że dostaje na tacy przefiltrowane?[/cite]
Bo ludzie to nygusy (IMG:style_emoticons/default/biggrin.gif) Oczywiście nie wszyscy, ale jak połączysz takiego Pana, który zarządza projektem i chce szybko ogarnąć ten projekt, z Panem, który "szybko napisze ten projekt" to wiesz co z tego wychodzi...