Dyskusja | Bezpieczeństwo aplikacji - Filtrowanie danych od użytkownika., Zawsze przez aplikację, czy indywidualnie przez programistę? Opcje

[adbacz]

Chciałbym rozpocząć małe tête-à-tête pomiędzy opiniami na ten temat

Co sądzicie o tym, by w aplikacji domyślnie, zawsze filtrować dane pochodzące od użytkownika, a zwracać dane RAW tylko w tedy, gdy developer faktycznie tego chce? Przykład:

[PHP] pobierz, plaintext 
// Zwróci filtrowane
$name = $request->get('name');
// Zwróci RAW
$name = $request->getRaw('name');
[PHP] pobierz, plaintext 

Dodajemy tylko na końcu nazwy metody 'Raw', i zapobiegamy ewentualnym "zapominalskim" w filtrowaniu danych. Wiem, że powinno się tym pamiętać, bo to podstawówka, ale chodzi mi o same wady i zalety takiego rozwiązania. Jak na razie zauważyłem tylko jedno - 3 literki więcej w nazwie metody.

Jeśli ktoś nauczy się w danym narzędziu używać metody get(), to z przyzwyczajenia będzie jej używał, a gdy mu nie przejdzie to co chce to zauważy, i użyje getRaw(). W drugą stronę może być inaczej, bo jeśli przyzwyczai się do tego, że prosta metoda zwraca to co chce i zapomni testu, to przejdzie to dalej.

Ale to tylko moje gdybanie, może Wy macie inne zdanie na ten temat?