от каких видов уязвимостей должен быть защищен любой проект разработка которого ведется с нуля ?

[Аlex]

ясен пень в ТЗ не описано ни слова про безопасность, но я так понимаю дырявым сайт оставлять не есть хорошо. Поэтому расскажите чтоли какие бывают методы у злоумышленников и как от них защищаться. Ну ессьно кроме банальной SQL инъекции и XSS
кстати про SQL инъекцию - достаточно ли прогнать передаваемые в запрос параметры через wsprintf('') примерно так

PHP код:

public function query($sql) {
        // $db->query("SELECT * FROM aslkd WHERE id = ?",$id);
        
        $args = func_get_args();
        
        $sql = array_shift($args);
        $link = $this->mysqli;
        
        $args = array_map(function ($param) use ($link) {
            return "'".$link->escape_string($param)."'";
        },$args);
        
        $sql = str_replace(array('%','?'), array('%%','%s'), $sql);
        
        array_unshift($args, $sql);
        
        $sql = call_user_func_array('sprintf', $args);
        
        
        $this->last = $this->mysqli->query($sql);
        if ($this->last === false) throw new Exception('Database error: '.$this->mysqli->error);

        return $this;        
    } 


[Fenex]

Возьмите готовое: safemysql, если не хотите использовать zend\yii\etc.

[Аlex]

Цитата:

Сообщение от Fenex

Возьмите готовое: safemysql, если не хотите использовать zend\yii\etc.

Видел этот класс, но он как то построен исключительно на процедурном подходе. Это не камильфо(
А вот из yii2 я бы с удовольствием выдрал activerecords и activequery но фиг знает где оно лежит и выдерается ли (