Dyskusja | Bezpieczeństwo aplikacji - Filtrowanie danych od użytkownika., Zawsze przez aplikację, czy indywidualnie przez programistę? Opcje

[adbacz]

Chciałbym rozpocząć małe tête-à-tête pomiędzy opiniami na ten temat

Co sądzicie o tym, by w aplikacji domyślnie, zawsze filtrować dane pochodzące od użytkownika, a zwracać dane RAW tylko w tedy, gdy developer faktycznie tego chce? Przykład:

[PHP] pobierz, plaintext 
// Zwróci filtrowane
$name = $request->get('name');
// Zwróci RAW
$name = $request->getRaw('name');
[PHP] pobierz, plaintext 

Dodajemy tylko na końcu nazwy metody 'Raw', i zapobiegamy ewentualnym "zapominalskim" w filtrowaniu danych. Wiem, że powinno się tym pamiętać, bo to podstawówka, ale chodzi mi o same wady i zalety takiego rozwiązania. Jak na razie zauważyłem tylko jedno - 3 literki więcej w nazwie metody.

Jeśli ktoś nauczy się w danym narzędziu używać metody get(), to z przyzwyczajenia będzie jej używał, a gdy mu nie przejdzie to co chce to zauważy, i użyje getRaw(). W drugą stronę może być inaczej, bo jeśli przyzwyczai się do tego, że prosta metoda zwraca to co chce i zapomni testu, to przejdzie to dalej.

Ale to tylko moje gdybanie, może Wy macie inne zdanie na ten temat?

[viking]

Co rozumiesz przez filtrowanie? Jak przefiltrujesz numer telefonu a jak datę urodzenia?

[Pyton_000]

Bardziej ogólnie to jak przefiltrujesz każdy możliwy typ danych?

[adbacz]

Ok, mój błąd. Chodziło mi o wyrzucenie tagów HTML i zrobienie HTML Entities z resztą co zostanie złego.

[Pyton_000]

A jaki jest tego sens? Po co jest uczyć od razu człowieka że dostaje na tacy przefiltrowane? Ja bym raczej stosował odwrotnie. Zawsze raw, a dopiero jak potrzeba to filtry.

[adbacz]

[cite]Po co jest uczyć od razu człowieka że dostaje na tacy przefiltrowane?[/cite]
Bo ludzie to nygusy Oczywiście nie wszyscy, ale jak połączysz takiego Pana, który zarządza projektem i chce szybko ogarnąć ten projekt, z Panem, który "szybko napisze ten projekt" to wiesz co z tego wychodzi...

[Pyton_000]

To się nie łączy takich Panów. Jak nie wiem to sie nie dotykam albo się pytam. Jeśli człowiek nie będzie wiedział co się dzieje pod spodem to niczego się nie nauczy i będzie bezmózgiem.