Diciamo che c'è un sito web che ha un campo di input da cui l'input è salvato in un database e poi visualizzato da qualche altra parte sul sito web.
-
È sicuro solo disinfettare / uscire dall'output, quando vengono visualizzati i dati?
-
Devi anche sfuggire all'input per impedire che dati dannosi entrino nel database in primo luogo?
La cosa di cui sono preoccupato è che anche se l'applicazione gestisce l'output, ad esempio, sfuggendo i dati dal database, ma alcune altre applicazioni potrebbero non disporre di un tale meccanismo per proteggere gli utenti a cui vengono visualizzati i dati.
È sicuro tenere il codice malevolo memorizzato nel tuo database per non modificare l'input dell'utente finché puoi evitare che faccia male all'utente?