Здравствуйте, Somescout, Вы писали:
S>Здравствуйте, Titus, Вы писали:
T>>Просто когда пользуешься чем-то, нужно включать мозг — не надо давать этот метод на вход вебформ в неприкрытом виде.
S>А "прикрытый вид" — это экранирование и склейка, или для веб-форм предлагаете отдельный метод завести?
Валидация ввода идет на трех этапах:
1) View — скорее для честных людей.
2) Controller — в Model числа отправляет, как числа, а не как строки.
3) Model — валидирует и при необходимости преобразует строки на предмет исключения причин заваливания запроса и инъекций.
В принципе, если клоунадой заниматься не собираешься, можем проверить устойчивость такого подхода на конкретных примерах.