Вещи, которые имеют смысл в контексте, это хорошо, вещи, которые не имеют смысла, это плохо.
Если этот сайт отфильтрован по HTML, то мы не могли бы привести примеры HTML.Вместо этого он обрабатывает HTML так, что они выводятся через экранированный код, а не как HTML.
Остерегайтесь чрезмерной проверки.<не обязательно плохо, есть разные причины, по которым люди будут использовать <,> и особенно &.
Аналогично, в то время как Роберт ');DROP TABLE Учащиеся; - не тот, кого вы хотите записать в своей школе, если ваше предотвращение означает, что О'Брайен, О'Тирни, О'Донован и О'Фланаган не могут зарегистрироваться,раз О'Доннелу отказали, он подумает, что это антиирландский расизм и подаст в суд на вас!(Более реалистично, я знаю людей здесь, в Ирландии, которые ищут конкурента, когда сценарий предотвращения SQL-инъекций блокирует или искажает их фамилию - хотя чаще они просто находят еще один сайт, который не предотвращение инъекций, так как любой из них в некотором роде потерпит неудачу).
Валидация , в отличие от проверки безопасности, заключается в том, чтобы убедиться, что что-то правдоподобно отражает реальность.На самом деле личные имена имеют «в них», а названия компаний и городов всегда имеют «&» в них, и «валидация» блокирует превращение действительных данных в недействительные.На самом деле номера кредитных карт имеют длину 16 цифр (некоторые дебетовые карты - 19 цифр) и проходят лунную проверку, адреса электронной почты имеют информационную часть пользователя, @ и имя хоста с записью MX.Имена людей никогда не бывают нулевыми.Это проверка.Отклонять (а не бежать) можно только в том случае, если оно действительно недействительно.