Tôi đã thực hiện xác thực đầu vào trên tất cả dữ liệu đầu vào của mình bằng cách sử dụng php (cũng như js trên giao diện người dùng). Tôi đang nhập vào vị trí mà tôi có thể, xác thực các nội dung như email chống lại regex, đảm bảo các giá trị thả xuống chỉ là những cái tôi mong đợi và trong nhiều trường hợp tôi chỉ mong đợi một chuỗi. chữ cái, số và dấu cách. Bất kỳ điều gì không đáp ứng các quy tắc này dẫn đến biểu mẫu không xác thực và không có truy vấn sql nào được chạy.vệ sinh đầu vào VS xác nhận
Với điều đó nói rằng nếu biểu mẫu của tôi vượt qua xác thực tôi đang giả định rằng nó an toàn cho đầu vào vào db của tôi (mà tôi đang thực hiện thông qua pdo) và sau đó thoát trên đầu ra.
Vì vậy, với lý do đó, tại sao tôi cần vệ sinh đầu vào?
Tôi muốn nói rằng bạn đang theo một phương pháp được chấp nhận. Vệ sinh và xác nhận (cùng) không phải lúc nào cũng cần thiết. Mặc dù, tôi là một fan hâm mộ của quốc phòng trong chiều sâu, vì vậy tôi có lẽ sẽ làm cả hai. Nhưng "từ chối biết xấu" và "chấp nhận tốt được biết đến" cũng được coi là chấp nhận được. https://www.owasp.org/index.php/Data_Validation – cmt