Tengo una función en mi aplicación donde los usuarios pueden hacer clic en una imagen de "aprobación" y se registra una imagen similar en la base de datos; todo lo que se registra es la ID del usuario y la ID de la publicación que le gustó.
Sé que no se puede confiar en las entradas del usuario: estoy limpiando las entradas del usuario, validando las entradas del usuario (del lado del servidor), escapando las salidas y escapando las consultas de la base de datos.
En este caso, el usuario está haciendo clic en la imagen, pero no hay forma. Sin embargo, los datos se pasan a la base de datos, utilizando JS. Tenga en cuenta que no hay ninguna entrada de usuario entre las etiquetas de secuencia de comandos (la secuencia de comandos similar se encuentra en una página que no se sirve).
Mi plan es validar (en el lado del servidor) que solo se envían números a la base de datos, pero ¿cómo puedo sanear esta entrada de "me gusta" / aprobación para proteger contra XSS ? / p>
Nota: Actualmente estoy leyendo la Hoja de referencia de prevención de XSS de OWASP y las Pautas de codificación segura de Mozilla, que es como empecé a preguntarme sobre esto.