izooomrud
что не понимаю как обезопасить бд от попадания в неё чего-то опасного

Ну и ты ждешь, что тебе в две строки на сайте кто-то объяснит, как обезопасить сайт от всего опасного? По теме написано книг объемом с холодильник примерно, ты ждешь что тебе их сейчас процитируют?

izooomrud
И я обозначил - что не понимаю как обезопасить бд от попадания в неё чего-то опасного.

Ты не обезопасишь БД потому, что 1) ничего не смыслишь в безопасности и 2) не знаешь, как устроена СУБД. Вряд ли тебя будут взламывать вообще. А если будут взламывать, то передай фронт работ по организации системы безопасности профильному специалисту/эксперту. Естественно, он тебе скажет “давай деньги и всё такое”, но это ты сам уже оцениваешь всё “стоит? не стоит? а что будет если …? а что будет если не если …?” и так далее. Самому тоже можно научиться всему. Но это, как с питоном. Многие новенькие в компьютерном мире думают, что питон - это такой маленький язычок для дебилов, и поэтому его можно так быстро выучить, как об этом часто заявляют из всех щелей Интернета. Очень мало кто из них может представить себе весь объём работы по изготовлению чего-нибудь, что они видят каждый день у себя в смартфоне или ещё где, что они купили в магазинчике уже готовое на блюдечке с голубой каёмочкой. Естественно, никто из них и представить не может себе, что питон, при среднем или глубоком погружении оказывающийся для них не таким простым, как в рекламных утверждениях от “экспертов”, и уже полностью загружающий их мозг одним своим ядром и библитекой, не является ключевым элементом даже наполовину при изготовлении небольшой программы. Питон ты можешь знать весь, а программа у тебя как не получалась, так и не получается. Чего-то не хватает. При этом им кажется, что это они просто питон ещё не доучили и что это поэтому у них не получается ничего. Вот так же и ты про безопасность думаешь. Обыватель думает “я спрячу пароль сейчас”, а ты крадёшь его печенье. Обыватель видит потом дефейс своей странички, который ты ему устроил в лучшем виде, и думает “мой пароль украли” и меняет пароль, а ты крадёшь его печенье. А он чо? А он не знает ничо. Он не знает, что есть печенье, и поэтому ты на шаг впереди него. Он ещё много чего не знает. Я встречался с этим, когда всё зашифровано всякими суперадминами, настоящими такими, а ты сидишь и читаешь всё это, половины не понимая, а ещё уроки делать надо (русский, географию, контурные карты), а ты не можешь оторваться, потому что если ты сейчас выйдешь, то обратно потом не зайдёшь уже.

AD0DE412
немного тематического флуда https://m.habr.com/ru/news/t/463679/

Специалист по безопасности под ником Droogie решил, что на его новом автомобильном номере должно быть написано NULL. В основном ради шутки, но был и скрытый смысл. Он надеялся, что благодаря такому хаку сможет избежать штрафов за превышение скорости (по понятной причине). Вышло совсем наоборот

Droogie надеялся, что новый номерной знак сработает как в классической карикатуре «Мамины эксплоиты» на КДПВ. По его расчёту, база данных увидит NULL и не сможет обработать никакую квитанцию на штраф. К сожалению, произошло прямо противоположное.
Сначала хакер получил штраф за нарушение правил парковки. Затем, когда определённая база данных выданных штрафов связала номерной знак NULL с его адресом, она отправила ему все остальные штрафные квитанции, у которых не было реального номерного знака. Общая стоимость штрафов составила $12 049.

Да-да-да, вот об этом я и говорю. Ему казалось, что он умный, а оказалось, что он опять там не знает чего-то.

Недавно школьник взломал Twitter. Что там в Twitter дураки сидят разве?
https://www.rbc.ru/crypto/news/5f27b1bd9a794787906483ed

У 17-летнего Грэма Кларка, обвиняемого во взломе Twitter-аккаунтов Илона Маска, Билла Гейтса и других бизнесменов и знаменитостей, имеется более $3 млн в биткоине. Об этом заявил адвокат подозреваемого, когда прокурор обозначил сумму залога за временное освобождение из-под стражи, передает Tampa Bay Times.
Стороны сошлись на залоге в $750 тыс., по $25 тыс. за каждое из 30 преступлений, в которых обвиняется Кларк. Прокурор подчеркнул, что по законам штата Флорида подозреваемый должен доказать законность средств, которые будут внесены в качестве залога, так как в этом есть сомнения.

https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html

Our next steps
Rolling out additional company-wide training to guard against social engineering tactics to supplement the training employees receive during onboarding and ongoing phishing exercises throughout the year.

Была хорошая безопасность, но просадка по проникновению через людей - разновидность человеческого фактора - полностью выключила всю безопасность.

свежая новость в тему https://habr.com/ru/news/t/546052/

В конце февраля 2021 года девушка по имени Рэйчел Тру (Rachel True) пожаловалась в Twitter, что уже полгода не может воспользоваться своим аккаунтом в Apple iCloud. Облачная система одной из самой прогрессивных компаний в мире просто выкидывает пользователя при попытке подключиться к iCloud, выдавая ошибку с сообщением «Type error: cannot set value ‘true’ to property ‘lastName‘»

Пздц, а я думал мне просто скажу - чувак, экранируй спецсимволы такой-то функцией и этого будет достаточно на первое время, или еще там какую-то функцию к строке применить, а тут понеслось

izooomrud
а я думал мне просто скажу - чувак, экранируй спецсимволы такой-то функцией и этого будет достаточно на первое время

Да-да-да, а потом ты спросишь “а вот у меня чо-то на сайте стало выводиться всё экранированным, как мне это теперь убрать обратно? но чтобы оно и продолжало экранироваться для безопасности?”. Я и такое встречал тоже. Прямо в базе были записаны всякие хаки, которые для красивого вывода текста в html нужны. Теги записаны были прямо в базе данных вокруг данных.

izooomrud тебе тут так не скажут, потому что все у кого тут хотябы 50+ сообщений взрослые дяди(тети) с каким-никаким опытом, и они понимают что сегодня они тебе скажут “чувак, экранируй спецсимволы такой-то функцией и этого будет достаточно..” а потом у тебя база упадет так что не поднять, и ты придещь и скажешь “как же так, вы же гвоорили что этого достаточно..”