>[оверквотинг удален] >>Ваше решение из разряда защитимся от XSS и для этого всё в >>базу будем ложить уже с заменой на HTML-мнемоники, тем самым портя >>данные. Это архитектурная ошибка может вам встать боком в самый неподходящий >>момент. > >Вы ошиблись. Я не от XSS защищал, а от SQL injection. Это >разные вещи. Кроме того, моё приложение на момент разработки ни имело >ни малейшего отношения к HTML. >И замена на HTML мнемоники не равноценна замене на base64, т.к. base64 >не нарушает целостность данных. 1. Я в курсе того, чем отличаются XSS от SQL-инъекции 2. Про замену на мнемоники..есть некоторые разработчики, которые сразу в базу ложат текст, в котором все HTML-спец.символы заменены на мнемоники. у вас аналогичное решение, только уже с base64. Просто что ваш, что методы Камински - по сути костыльные решения. И во многом надуманные. Его аргумент, что программисты только под дулом пистолета могут использовать параметризированные запросы вообще не выдерживает критики.
|