<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Hello guys,<div>Glad to hear another very useful projecting kicking in.</div><div>I think providing one or two examples of vulns plus the description and solution the OWASP Periodic Table wants to offer would set things for most of us, as it is really vague right now in my mind at least.</div><div>Thanks</div><div>-Abbas<br><div><div>On ۱۶ اسفند ۱۳۹۱, at ۳:۲۰, James Landis <<a href="mailto:james.landis@owasp.org">james.landis@owasp.org</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr"><div>I think the Periodic Table sits just one level of abstraction above this argument. No matter where we finally land on the output encoding vs. input validation debate, would we all agree that any generic secure web app framework (e.g. "secure" rails, "secure" struts, etc.) should automatically enforce both of them without requiring a developer to remember to call the right validation or encoding function?<br>
<br>A flexible framework would probably want to expose configuration options for the filters and encoders, but for the first version of the document I'd only want to get as far into the implementation details as is necessary to make sure we know the solution is technically feasible and not going to kill off the entire user base for the framework.<br>
<br></div>-j<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Mar 5, 2013 at 1:31 PM, Dennis Groves <span dir="ltr"><<a href="mailto:dennis.groves@owasp.org" target="_blank">dennis.groves@owasp.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
* Other odd ball contexts need their own love, probably along the lines of IV.<br>
</blockquote>
<br>
Would love to see some examples.<br>
<br>
And in general, input validation is great secure coding hygiene practice and does indeed stop some injection (like when validating numeric input that lands in a query). But to stop SQL Injection, it's all about query parametrization (and proper design) for complete defense.<br>

</blockquote>
<br></div>
Is that because your thinking of remediation and we are thinking of root cause?<br>
In my mind root cause and remediation are not the same, one is a how (solution) the other is the why (reason). And I unfortunately, can not think of any examples. :/<div class="im HOEnZb"><br>
<br>
Dennis<br>
<br>
-- <br>
[Dennis Groves](<a href="http://about.me/dennis.groves" target="_blank">http://about.me/<u></u>dennis.groves</a>), MSc<br>
[Email me](mailto:<a href="mailto:dennis.groves@owasp.org" target="_blank">dennis.groves@<u></u>owasp.org</a>) or [schedule a meeting](<a href="http://goo.gl/8sPIy" target="_blank">http://goo.gl/8sPIy</a>).<br>
<br>
*This email is licensed under a [CC BY-ND 3.0](<a href="http://creativecommons.org/licenses/by-nd/3.0/deed.en_GB" target="_blank">http://creativecommons.<u></u>org/licenses/by-nd/3.0/deed.<u></u>en_GB</a>) license.*<br>
<br>
**Please do not send me Microsoft Office/Apple iWork documents.**<br>
Send [OpenDocument](<a href="http://fsf.org/campaigns/opendocument/" target="_blank">http://fsf.org/<u></u>campaigns/opendocument/</a>) instead!<br>
Stand up for your freedom to install [free software](<a href="http://www.fsf.org/campaigns/secure-boot/statement" target="_blank">http://www.fsf.org/<u></u>campaigns/secure-boot/<u></u>statement</a>).<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The idea that some lives matter less is the root of all that’s wrong with the world. -- Paul Farmer<br>
</blockquote></div><div class="HOEnZb"><div class="h5">
______________________________<u></u>_________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/<u></u>mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>
_______________________________________________<br>OWASP-Leaders mailing list<br><a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>https://lists.owasp.org/mailman/listinfo/owasp-leaders<br></blockquote></div><br></div></body></html>