Ho un'app molto semplice che consente agli utenti non autenticati di lasciare commenti (forse più avanti incorporerò un capatcha). L'app memorizza quindi i commenti in un mysql db. Faccio del mio meglio per filtrare caratteri speciali ma non penso che sia l'approccio migliore. Qual è l'approccio migliore per evitare attacchi SQL-Injection?
Inoltre, il sito è pesante in javascript e quindi probabilmente riscriverò parte della logica per essere lato server. La principale vulnerabilità che vedo sarebbe una funzione di callback che invia una stringa al server. Questa stringa viene analizzata e quindi inviata al db. Si tratta di una vera vulnerabilità e, in caso affermativo, come risolverlo? Inoltre, la logica del cliente è a rischio? Qual è il criterio lì?
Infine, come faccio a implementare un semplice hash per la password per il db? Seguo semplicemente queste istruzioni? (Chiedo perché ho provato e ho fallito ma volevo solo assicurarmi di dare la caccia al coniglio giusto)
Inoltre, mi manca qualcosa di grande?