Hablando de aplicaciones web en general qué es mejor, validar todas las entradas (datos de formularios, urls) o sanear todas las salidas ?
Luis Uribe
[ Admin ]
La primera primordialmente, me parece a mi. Validar (y revalidar) las entradas es primordial para prevenir no sólo sql injections, sino funcionamientos erronéos de la aplicación. Dependiendo del nivel de complejidad pensaría en validar las salidas.
Por ejemplo, vos sabés que en un query determinado sólo se pueden recibir números enteros, mientras que no siempre se llega a ese nivel de precisión en la información que debe ser mostrada.
la pregunta fue planteada porque alguna vez vi un argumento que los datos deberían conservarse tal como el usuario los provee y sanearse justo antes de usarse, curiosamente acabo de ver una entrada en un blog que sostiene ese mismo argumento, denle una ojeada http://www.rooftopsolutions.nl/blog/when-to-escape-your-data