Názor k článku
ČSOB podcenila zabezpečení svého webu

Hrozně nerad bych řekl něco hloupého, ale pokud je podle autora tak jednoduché vstupy proti injekcím a cross-site scriptingu ošetřit, čím to, že už dávno neexistuje nějaká všeobecně známá JEDNA super-univerzální funkce, kterou by všichni používali? Tak nějak laicky se mi zdá, že kdyby skutečně existovalo nějaké naprosto neprůstřelné řešení, už dávno by všichni měli na svých webech definovanou příslušnou funkci
function OsetriVstup()
která by prostě sama od sebe vzala $_POST, $_GET, $_REQUEST atd. a nějak to "pořešila".

V diskuzi také několikrát zaznělo, že je třeba provádět ošetření jak na vstupu, tak na výstupu (z databáze), pro případ, že někdo DB nabořil. Jenže se obávám, že by pak sotva šlo udělat redakční systém, který by adminům umožnil například do nějakých zpráviček/aktualit vložit odkazy nebo IFRAME.

Domnívám se, že přístup "Nikdy nikomu nevěř" nelze používat; ti, komu nelze věřit, jsou návštěvníci webu z řad běžných surfařů, ale někomu člověk věřit musí. Jinak by každá firma musela mít na každého programátora dva další kontrolory, kteří by kontrolovali, jaký kód programátor na web nahrává, každý admin databáze by musel mít nad sebou dva kontrolory, kteří by kontrolovali jeho zásahy... A nad těmi kontrolory by museli být další kontroloři, kteří by hlídali, zda náhodou někdo ty dva "dolní kontrolory" nepodplatil, aby tam nepropašovali něco škodlivého. Tohle už je paranoia.