Какой самый эффективный способ дезинфицировать ввод пользователя с помощью Tastypie? Прямо сейчас, если пользователь вводит что-то вроде привет, HTML-теги сохраняются, поэтому при их отображении текст выделяется жирным шрифтом. Как мне дезинфицировать все входные данные, кроме изменения obj_create для каждого ресурса?
Кроме того, поскольку я новичок в веб-безопасности, должен ли я также дезинфицировать ввод пользователя во внешнем интерфейсе? Я не уверен, должен ли я дезинфицировать ввод перед отправкой POST-запроса в API deliciouspie или должен дезинфицировать ввод, когда deliciouspie обрабатывает ввод?
Изменить: я обнаружил, что могу избежать HTML в своих шаблонах подчеркивания, отображая данные с помощью ‹%- %>, а не ‹%= %>. Почему подчеркивание не делает это по умолчанию? Я чувствую, что это большой риск для безопасности. Если я где-то случайно забуду это сделать, то мне конец.
Я думаю, что вышеизложенное решает проблему безопасности внешнего интерфейса, но как насчет внутреннего интерфейса? Есть ли способ узнать, уязвим ли я для SQL-инъекций? Будет ли deliciouspie дезинфицировать ввод, когда я выполняю запрос POST/PUT?