Как защитить от вредоносного кода в веб-формах?

Question

Я понимаю, что это, вероятно, будет звучать как чрезвычайно элементарный вопрос для некоторых из более высокопоставленных людей, но я должен был спросить. Я понимаю, что Google используется для моего использования, но я хотел убедиться, что нашел правильный ответ. Мой друг обеспокоен тем, что, когда мы публикуем в ближайшее время страницу нашего проекта о том, что кто-то может размещать вредоносный код в нашей веб-форме (имя пользователя, док, электронная почта, контактная информация, вид веб-формы), и он хочет знать, что является лучшим способом защиты против таких инъекций вредоносного кода.

Вы только что получили защиту SSL в своей базе данных или есть что-то большее, что требуется для программирования, чтобы защитить себя и информацию, которую мы собираем?

Answer 1

Вы дезинфицируете свои входы перед их хранением, что обычно означает, например, экранирование специальных символов в sql или что-то еще до создания запроса.

Практически каждый язык и платформа для создания веб-приложений предоставляют вам способы сделать это. Как правило, вы будете использовать любую версию параметризованных запросов, которую предоставляет ваша инфраструктура, и она будет обрабатывать вас. Но здесь «ключевое слово Google» - «дезинфекция».

Это не имеет никакого отношения к ssl. Ssl шифрует сетевой трафик, поэтому третьи стороны не могут следить за ним. Использование ssl полностью не зависит от подверженности сайтов атакам с инъекциями кода.

Я хотел бы получить более подробную информацию о дезинфекции входных данных, но без дополнительной информации я не могу сказать много, а также информация об этом легко доступна в документах, учебниках и примерах по всему Интернету.