Digamos que hay un sitio web que tiene un campo de entrada desde el cual la entrada se guarda en una base de datos y luego se muestra en otro lugar del sitio web.
-
¿Es seguro solo desinfectar / escapar la salida, cuando se muestran los datos?
-
¿Tiene que escapar también de la entrada para evitar que datos maliciosos ingresen a la base de datos en primer lugar?
Lo que me preocupa es que incluso si la aplicación maneja la salida, por ejemplo, escapando los datos de la base de datos, pero es posible que alguna otra aplicación no tenga dicho mecanismo para proteger a los usuarios para los cuales se muestran los datos.
¿Es seguro mantener el código malicioso almacenado en su base de datos por el hecho de no cambiar la entrada del usuario siempre que pueda evitar que dañe al usuario?