サニタイズという言葉を使うなという話。
「入力値の精査=サニタイズ」
は間違い。
サニタイズはそれぞれ適した場所で処理を実行する必要がある。
クロスサイトスクリプティング対策であればHTMLの出力直前に「<」等のタグをエスケープする処理が必要がある。
SQLインジェクション対策であればSQLを実行する前に「'」をエスケープする処理が必要になる。
これを入力値で行おうとすると、必要のないエスケープが行われてしまうことになる。
参考記事
続・「サニタイズ言うなキャンペーン」とは
「サニタイズ言うなキャンペーン」とは
サニタイズ言うなキャンペーンがわかりにくい理由
