Здравствуйте, Somescout, Вы писали:

S>Здравствуйте, Titus, Вы писали:

T>>Просто когда пользуешься чем-то, нужно включать мозг — не надо давать этот метод на вход вебформ в неприкрытом виде.

S>А "прикрытый вид" — это экранирование и склейка, или для веб-форм предлагаете отдельный метод завести?

Валидация ввода идет на трех этапах:
1) View — скорее для честных людей.
2) Controller — в Model числа отправляет, как числа, а не как строки.
3) Model — валидирует и при необходимости преобразует строки на предмет исключения причин заваливания запроса и инъекций.

В принципе, если клоунадой заниматься не собираешься, можем проверить устойчивость такого подхода на конкретных примерах.