Validación de entrada
¿Qué es Validación de entrada?
Validación de entradaComprobación del lado del servidor que verifica que cada entrada no confiable cumple el tipo, longitud, rango, formato y conjunto de valores esperados antes de ser procesada.
La validación de entrada protege a una aplicación frente a datos malformados o maliciosos provenientes de usuarios, API, archivos y servicios upstream. El enfoque recomendado es la lista blanca: declarar exactamente lo aceptable (tipo, longitud, conjunto de caracteres, expresión regular, rango de negocio) y rechazar el resto, en lugar de intentar bloquear patrones malos. Debe realizarse en el servidor porque las comprobaciones del cliente pueden evitarse; se combina con codificación de salida específica del contexto y consultas parametrizadas. Muchas vulnerabilidades críticas (SQLi, XSS, SSRF, deserialización, path traversal) provienen de una validación de entrada débil o ausente en las fronteras de confianza.
● Ejemplos
- 01
Rechazar un parámetro «quantity» que no sea un entero positivo entre 1 y 100.
- 02
Permitir solo UUID v4 en el parámetro «orderId» para que los payloads de SQLi no lleguen a la base de datos.
● Preguntas frecuentes
¿Qué es Validación de entrada?
Comprobación del lado del servidor que verifica que cada entrada no confiable cumple el tipo, longitud, rango, formato y conjunto de valores esperados antes de ser procesada. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Validación de entrada?
Comprobación del lado del servidor que verifica que cada entrada no confiable cumple el tipo, longitud, rango, formato y conjunto de valores esperados antes de ser procesada.
¿Cómo defenderse de Validación de entrada?
Las defensas contra Validación de entrada combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Validación de entrada?
Nombres alternativos comunes: Validación de datos, Validación del lado del servidor.