no, il principio non è di usare getWord o getVar, diciamo che usare l'uno o l'altro metodo della classe statica può non dipendere solo da unaspetto di sicurezza.
Il problema è un'altro sono i dati che vanno a valorizzare variabili, dopo essere passati da un post una get una sessione un cookie da una richiesta Json etc
in fondo getWord fa qualcosina in più di una getVar è intuitivo che presuppone un'aspettativa... una word
...ma potrei benissimo prenderla da una get var e dirglielo io che deve essere una word.
Casting, la base delle sicurezza è prima di tutto il casting.
mi aspetto un numero e devo verificare che quello arrivi tutto il resto andrà nell'errore da gestire.
non è la getVar in se stessa quindi il problema ma sei tu che prendi ciò che arriva e lo assegni a qualche variabile.
Se la variabile finisce in una query ecco la sqlinj se la variabile va a valorizzare..chessò ..uno stile, hai una Xss, se va a valorizzare qualche include hai una rfi (aggiungi davanti a tutto "...possibile..", perchè nn è comunque detto).
se faccio Jrequest getvar controller il mio controller potrebbe essere una stringa "malevola".... ma se io appena dopo gli metto un controllo tipo if(in_array(array('pippo','pluto','paperino'), $miocontroller)){
tu li porcherie non riuscirai mai a metterle.
M.
