3. Prevenção de Injeção e Output Encoding¶

Ref: ASVS V5.3 - Output Encoding and Injection Prevention

SQL Injection:
- Obrigatório: Uso de Prepared Statements para todas as queries de banco de dados.
- Proibido: Concatenação de strings para formar queries SQL.
- ORMs: Utilizar exclusivamente métodos nativos do ORM que garantam parametrização automática de queries.
Cross-Site Scripting (XSS):
- Aplicar Encoding (Codificação) contextual em toda saída de dados para o navegador (HTML Body, Atributos HTML, JavaScript, CSS).
- Utilizar frameworks de frontend que fazem auto-escaping e evitar qualquer mecanismo que injete HTML dinâmico sem validação e encoding adequados.