Валидация ввода
Что такое Валидация ввода?
Валидация вводаСерверная проверка того, что каждый недоверенный ввод соответствует ожидаемому типу, длине, диапазону, формату и набору значений до его обработки приложением.
Валидация ввода защищает приложение от искажённых или вредоносных данных, поступающих от пользователей, API, файлов и смежных сервисов. Рекомендованный подход — allow-list: чётко описать допустимое (тип, длина, набор символов, регулярное выражение, бизнес-диапазон) и отвергать всё остальное, а не пытаться блокировать «плохие» шаблоны. Проверка должна выполняться на сервере, поскольку клиентские проверки обходятся; её сочетают с контекстным кодированием вывода и параметризованными запросами. Многие критические уязвимости (SQLi, XSS, SSRF, десериализация, path traversal) связаны со слабой или отсутствующей валидацией на границах доверия.
● Примеры
- 01
Отклонять параметр quantity, если он не положительное целое от 1 до 100.
- 02
Разрешать в path-параметре orderId только UUID v4, чтобы SQLi-пейлоады не доходили до БД.
● Частые вопросы
Что такое Валидация ввода?
Серверная проверка того, что каждый недоверенный ввод соответствует ожидаемому типу, длине, диапазону, формату и набору значений до его обработки приложением. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Валидация ввода?
Серверная проверка того, что каждый недоверенный ввод соответствует ожидаемому типу, длине, диапазону, формату и набору значений до его обработки приложением.
Как защититься от Валидация ввода?
Защита от Валидация ввода обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Валидация ввода?
Распространённые альтернативные названия: Валидация данных, Серверная валидация.