outputu escape etmediği ne malum. Yani kimse veritabanında xss kodu yerleştirilmiş bir veritabanı istemez sanırım
.Ayrıca kullanıcıya güvenmeyin diyorsun fakat inputla gelen verileri filtre etmeyin diyor gibisin veya filtre edinmi diyorsun çünkü arkadaşın koduda bir nevi filtre yani aynı şeyleri söyler gibisiniz. Makaledeki arkadaş cidden güzel şeyler yazmış paylaşımı için teşekkür ederim.
Birde php de bir işlemi girdide yapmakla çıktıda yapmak arasında ne fark olabilir
Veya hem girdide hemde çıktıda yapmakta bir nevi paranoyaklık olmuyormu
Yani php öyle birşeyki ne tarafa çeksen o tarafa geliyor. Surçi lisan ettiysek afola hayırlı ramazanlar.
Günümüz teknolojisinde paranoya kabul edilebilir olmalı, en güvenilir sistem fişi çekili olandır. Ben aklıma gelen her türlü önlemi alırım, eğer alınan önlemler bana sorun çıkarıyorsa azaltır yada alternatifini ararım.
Php de bir işlemi girdide yapmak her zaman avantaj sağlar çünkü işimiz okunabilir web sayfalarıdır, yazı bir veya bir kaç kez yazılır (düzenlenir) fakat defalarca okunur. Çıktı denetimi artarsa iş yükü kat ve kat daha fazla olacaktır.
Bir başka açıdan bakacak olursak eskisi gibi ram, işlemci yada alan sorunu yaşamıyoruz. Eğer bir site kaynak olarak sizi zorluyorsa çok ciddi yol kat etmişsinizdir bu durumda kaynak için harcanan ücret sizi sıkıntıya sokmayacaktır. Böyle bir site için girdi çıktı demeden her önlemi almak akla yatkın geliyor.
Çıktıda denetim yapmanın yararları verilen bağlantıda anlatılmış. Her yöntemin cazip tarafları var çok uzun düşünmeye gerek olmadığı kanaatindeyim. Aklınıza yatanı seçin zamanla su yolunu bulacak, ihtiyaçları en iyi karşılayan yönteme ulaşacaksınız.