My thoughts on organization of each control are:<div><br></div><div>Design</div><div><br></div><div>The rationale for any compliant design. We give a strawman compliant pattern.</div><div><br></div><div><br></div><div>Implementation </div>
<div><br></div><div>A concrete example of a compliant implementation, preferably using native features or ESAPI. </div><div><br></div><div><br></div><div>Test</div><div><br></div><div>How to test (both negative and positive tests) for this issue:</div>
<div><br></div><div>Links to OWASP Test Guide for this issue.</div><div><br></div><div>* Unit test bullet points (i.e. content is in OWASP Testing Guide)</div><div>* Web test bullet points</div><div><br></div><div>thoughts?</div>
<div><br></div><div>On combining input validation and output encoding, I am okay with this idea, but I think considering that output encoding deals with SQL, LDAP, and other mechanisms that are not (necessarily) strongly coupled to input, I think let's develop them in concert but as two, and once we have the two chapters developed, let's have a talk about linkage and integration. </div>
<div><br></div><div>thoughts?</div><div><br></div><div>thanks,</div><div>Andrew</div>