User Input is Evil. La base del discorso di Keith Brown è essenzialmente questa. Sta snocciolando con una belezza disarmante quelli che sono i classici attacchi e che prevedono si voglia dia attaccae un sistema, ma anche una mancanza delle nozioni base da parte dello sviluppatore. Il problema è chedi sviluppatori completamente security unaware ce ne sono molti. La cosa veramente interessate è che la sua idea di sicurezza sull'input è basata tutta sul concetto di Casting e Regular Expression quindi qualcosa che dovrebbe comune e semplice da implementare per tutti. Controllare campi, Request Input, Url, File access è qualcosa che si deve sempre fare e basta solo usare Cast e RegularExpression.

Ora dopo una demo sulla SQLInjection (Dopo aver letto nel nostro libro il capitolo sulla sicurezza ed il deploy, non potete dire che non sapete di che si tratta), sta passano alla SQLTruncation, una variante della SqlInjection. Forse ha ragione Raf, c'è bisogno di far evolvere l'SQL, ma già che c'è facciamo in modo di essere sicuri almeno così.