Validation des entrées
Qu'est-ce que Validation des entrées ?
Validation des entréesContrôle côté serveur vérifiant que chaque entrée non fiable correspond au type, à la longueur, à la plage, au format et à l'ensemble de valeurs attendus avant tout traitement.
La validation des entrées protège une application contre les données malformées ou malveillantes provenant des utilisateurs, des API, des fichiers et des services en amont. L'approche recommandée est la liste blanche : déclarer précisément ce qui est acceptable (type, longueur, jeu de caractères, regex, plage métier) et rejeter le reste, plutôt que tenter de bloquer les motifs malveillants. Elle doit être effectuée côté serveur, les contrôles côté client pouvant être contournés, et se combine à l'encodage de sortie contextuel et aux requêtes paramétrées. Beaucoup de vulnérabilités majeures (SQLi, XSS, SSRF, désérialisation, path traversal) découlent d'une validation faible ou absente aux frontières de confiance.
● Exemples
- 01
Rejeter un paramètre « quantity » qui n'est pas un entier positif entre 1 et 100.
- 02
Limiter le paramètre « orderId » à un UUID v4 pour que les charges SQLi n'atteignent jamais la base.
● Questions fréquentes
Qu'est-ce que Validation des entrées ?
Contrôle côté serveur vérifiant que chaque entrée non fiable correspond au type, à la longueur, à la plage, au format et à l'ensemble de valeurs attendus avant tout traitement. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Validation des entrées ?
Contrôle côté serveur vérifiant que chaque entrée non fiable correspond au type, à la longueur, à la plage, au format et à l'ensemble de valeurs attendus avant tout traitement.
Comment se défendre contre Validation des entrées ?
Les défenses contre Validation des entrées combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Validation des entrées ?
Noms alternatifs courants : Validation des données, Validation côté serveur.