Je suis novice dans le domaine de la programmation Web et j'étudie les problèmes liés à la sécurité Web.Stockage de parties de données utilisateur dans des fichiers pour empêcher l'injection SQL
J'ai un formulaire où l'utilisateur peut publier deux types de données - appelons-les "sûrs" et "dangereux" (du point de vue de sql).
La plupart des emplacements recommandent de stocker les deux parties des données dans la base de données après avoir désinfecté la partie "dangereuse" (pour la rendre "sûre"). Je m'interroge sur une approche différente - pour stocker les données «sûres» dans la base de données et les données «non sécurisées» dans les fichiers (en dehors de la base de données). Bien entendu, cette approche crée son propre ensemble de problèmes liés au maintien de l'association entre les fichiers et les entrées de la base de données. Mais y a-t-il d'autres problèmes majeurs avec cette approche, en particulier en ce qui concerne la sécurité?
MISE À JOUR: Merci pour les réponses! Toutes mes excuses pour ne pas être clair sur ce que je suis en train de considérer comme "sûr", donc quelques éclaircissements sont nécessaires. J'utilise Django, et le formulaire données que je considère "sûr" est accessible par le biais du dictionnaire "nettoyé" du formulaire dictionnaire qui fait tout le nécessaire échapper.
Pour les besoins de cette question, considérons une page wiki. Le titre de la page wiki n'a pas besoin d'avoir de style attaché avec. Donc, cela peut être consulté à travers le formulaire "nettoyé_data" dictionnaire qui va convertir l'entrée de l'utilisateur au format "sûr". Mais puisque je souhaite donner aux utilisateurs la possibilité de style arbitrairement leur contenu, je ne peux peut-être pas accéder à la partie de contenu en utilisant le dictionnaire "washed_data". L'approche de fichier résout-elle les aspects de sécurité de ce problème?
Ou y at-il d'autres problèmes de sécurité que je néglige?