Validação de entrada
O que é Validação de entrada?
Validação de entradaVerificação no servidor que confirma se toda entrada não confiável corresponde ao tipo, comprimento, intervalo, formato e conjunto de valores esperados antes do processamento.
A validação de entrada protege a aplicação contra dados malformados ou maliciosos vindos de usuários, APIs, arquivos e serviços upstream. A abordagem recomendada é a allow-list: declarar exatamente o que é aceitável (tipo, comprimento, conjunto de caracteres, regex, faixa de negócio) e rejeitar o resto, em vez de tentar bloquear padrões ruins. Deve ser feita no servidor, pois checagens no cliente podem ser contornadas, e combina-se com codificação de saída contextual e consultas parametrizadas. Muitas vulnerabilidades graves (SQLi, XSS, SSRF, desserialização, path traversal) decorrem de validação ausente ou fraca nas fronteiras de confiança.
● Exemplos
- 01
Rejeitar um parâmetro 'quantity' que não seja inteiro positivo entre 1 e 100.
- 02
Restringir o parâmetro 'orderId' a UUID v4 para que payloads de SQLi não cheguem ao banco.
● Perguntas frequentes
O que é Validação de entrada?
Verificação no servidor que confirma se toda entrada não confiável corresponde ao tipo, comprimento, intervalo, formato e conjunto de valores esperados antes do processamento. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Validação de entrada?
Verificação no servidor que confirma se toda entrada não confiável corresponde ao tipo, comprimento, intervalo, formato e conjunto de valores esperados antes do processamento.
Como se defender contra Validação de entrada?
As defesas contra Validação de entrada costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Validação de entrada?
Nomes alternativos comuns: Validação de dados, Validação no servidor.