Исходное сообщение
"Новая критическая уязвимость в Joomla использована для совер..." Отправлено dlazerka, 15-Дек-15 11:23
>> Слушайте, 2015 год на дворе. Кто ещё записывает данные в БД напрямую, >> без прослойки, которая подставляет+чистит данные? > Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми > приходится сталкиваться? Вдруг окажется, что в одной функции авторы ORM ожидают > уже экранированные данные, а в другой чистые. А сможешь всегда держать > в голове эти нюансы и не забывать просматривать код всех новых > версий? Да, я читал код JDBC, именно на предмет экранирования. Да и что там читать, Ctrl-клик на вызов preparedStatement.setString() в своём коде и вот оно экранирование. Не вдруг, не окажется. НЕТ функций, которые ожидают экранированные данные. Зачем вообще в коде держать экранированные?