Rolf B: getRequestBody-Methode gibt keine Formular-Werte aus

Beitrag lesen

Hallo borisbaer,

Aber POST-Werte, die man in eine Datenbank übertragen möchte, müssen doch stets irgendwie gefiltert werden, oder?

Warum sollten sie? Relevant ist nur, dass Du sie so wieder ausgibst, dass sie im Browser keinen Schaden anrichten.

Filterungen sind eher fachlich bedingt. Ein trim() kann sinnvoll sein, das Entfernen von Nicht-ASCII-Zeichen auch (also Codes unter 32). Aber ansonsten Zeichen zu maskieren? Nö. Erst bei der Ausgabe.

Wenn Datenbankfelder kein String sind, sondern ein int oder ein Date, ist es natürlich auch sinnvoll, die Werte dafür vorher zu prüfen, ob sie sinnvoll sind. Das ist Eingabeplausibilisierung. Schlägt die fehl, bekommt der User eine Fehlermeldung. Blind wegmaskieren darfst Du dann nicht.

Rolf

--
sumpsi - posui - obstruxi