Sollten wir noch alle Method-Calls zu form.bindFromRequest() mit den erlaubten Feldern fuellen?

Geend / HshHelper

Hannover University of Applied Sciences and Arts - Master Project - Security competition to make a secure filesharing website.

GNU General Public License v3.0

0 stars 1 forks source link

Sollten wir noch alle Method-Calls zu form.bindFromRequest() mit den erlaubten Feldern fuellen? #141

Closed eloquenza closed 5 years ago

eloquenza commented 5 years ago

Ich erinnere mich daran, dass Herrn Peine während einer Präsentation anfangs mal meinte, dass man den Call niemals ohne explizite Felder aufrufen sollte, weil das ja viel sicherer wäre, explizit anzugeben und zu limitieren, welche Felder erlaubt sind.

Sollten wir das auch noch machen? Ich find leider keine Quelle, die das belegt, was Herr Peine sagt.

Geend commented 5 years ago

Haben wir dann nicht gemacht, mit der Begründung, dass wir da überall DTOs benutzten und man so nichts ändern kann was man nicht ändern darf.