Moje ostatnie wyzwanie utknęło na dwóch rozwiązaniach. Do jego trzeciej wersji (http://bootcamp.threats.pl/lesson25b/) nie otrzymałem do tej pory żadnego zgłoszenia. Zarówno zgłoszenia błędu, jak i "dowodu", że błędu/błędów w tej wersji już nie ma.
W ramach podpowiedzi pytanie naprowadzające - czy jest możliwość rozróżnienia sytuacji, w której żadne dane nie są wyświetlane, bo zapytanie SQL ich nie zwróciło i sytuacji, w której dane nie są wyświetlane, bo wystąpił błąd w trakcie wykonania zapytania SQL?
I jeszcze jak wyglądają w tym przykładzie następujące kwestie (ASVS):
- V5.2 Verify that a positive validation pattern is defined and applied to all input.
- V5.3 Verify that all input validation failures result in input rejection or input sanitization.
Oba pytania z sekcji V5 - Input Validation Verification Requirements.
