Paweł Goleń, blog

Moje ostatnie wyzwanie utknęło na dwóch rozwiązaniach. Do jego trzeciej wersji (http://bootcamp.threats.pl/lesson25b/) nie otrzymałem do tej pory żadnego zgłoszenia. Zarówno zgłoszenia błędu, jak i “dowodu”, że błędu/błędów w tej wersji już nie ma.

W ramach podpowiedzi pytanie naprowadzające – czy jest możliwość rozróżnienia sytuacji, w której żadne dane nie są wyświetlane, bo zapytanie SQL ich nie zwróciło i sytuacji, w której dane nie są wyświetlane, bo wystąpił błąd w trakcie wykonania zapytania SQL?

I jeszcze jak wyglądają w tym przykładzie następujące kwestie (ASVS):

• V5.2 Verify that a positive validation pattern is defined and applied to all input.
• V5.3 Verify that all input validation failures result in input rejection or input sanitization.

Oba pytania z sekcji V5 – Input Validation Verification Requirements.

Oryginał tego wpisu dostępny jest pod adresem Bootcamp XXV – hint

Autor: Paweł Goleń