Eingabevalidierung
Was ist Eingabevalidierung?
EingabevalidierungServerseitige Prüfung, ob jede unvertrauenswürdige Eingabe vor der Verarbeitung dem erwarteten Typ, Längen-, Wert-, Format- und Wertebereich entspricht.
Eingabevalidierung schützt eine Anwendung vor missgebildeten oder bösartigen Daten von Nutzern, APIs, Dateien und vorgelagerten Diensten. Empfohlen ist eine Allowlist: exakt zu beschreiben, was akzeptabel ist (Typ, Länge, Zeichenmenge, Regex, fachlicher Wertebereich) und alles andere abzulehnen, statt schlechte Muster blockieren zu wollen. Die Prüfung muss serverseitig erfolgen, da Client-Checks umgangen werden können; sie wird mit kontextspezifischer Ausgabeencodierung und parametrisierten Abfragen kombiniert. Viele schwerwiegende Schwachstellen (SQLi, XSS, SSRF, Deserialisierungsfehler, Pfad-Traversal) gehen auf fehlende oder schwache Eingabevalidierung an Vertrauensgrenzen zurück.
● Beispiele
- 01
Einen 'quantity'-Parameter ablehnen, der keine positive Ganzzahl zwischen 1 und 100 ist.
- 02
Für den 'orderId'-Pfadparameter nur UUID v4 zulassen, damit SQLi-Payloads die DB nie erreichen.
● Häufige Fragen
Was ist Eingabevalidierung?
Serverseitige Prüfung, ob jede unvertrauenswürdige Eingabe vor der Verarbeitung dem erwarteten Typ, Längen-, Wert-, Format- und Wertebereich entspricht. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Eingabevalidierung?
Serverseitige Prüfung, ob jede unvertrauenswürdige Eingabe vor der Verarbeitung dem erwarteten Typ, Längen-, Wert-, Format- und Wertebereich entspricht.
Wie schützt man sich gegen Eingabevalidierung?
Schutzmaßnahmen gegen Eingabevalidierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Eingabevalidierung?
Übliche alternative Bezeichnungen: Datenvalidierung, Serverseitige Validierung.