Kaynak ne olursa olsun, yazılımınızın girişlerine asla güvenmemelisiniz. Sadece tiplerin doğrulanması değil, aynı zamanda girdi ve iş mantığı aralıkları da önemlidir. Yorum başına, bu OWASP tarafından iyi tanımlanmıştır
Bunu yapmamak, daha sonra temizlemeniz gereken atık verilerinde sizi en iyi şekilde bırakacaktır, ancak en kötü durumda, eğer yukarı yöndeki hizmet bir şekilde tehlikeye atılırsa (Hedef kesmek qv) kötü niyetli istismarlar için bir fırsat bırakacaksınız. Aradaki sorunların kapsamı, başvurunuzun kurtarılamaz duruma getirilmesini içerir.
Yorumlardan belki de cevabımın biraz genişleme yapabileceğini görebiliyorum.
"Girdilere hiçbir zaman güvenme" ifadesiyle, yalnızca yukarı akış ya da aşağı akış sistemlerinden her zaman geçerli ve güvenilir bilgiler alacağınızı varsayamayacağınız anlamına gelmez ve bu nedenle bu girişi her zaman kabiliyetinizden en iyi şekilde çıkarmanız veya reddetmeniz gerekir. o.
Bir tartışma, örnek olarak ele alacağım yorumlarda ortaya çıktı. Evet, işletim sisteminize bir dereceye kadar güvenmek zorundasınız, örneğin, 1 ile 10 arasında bir sayı isteyip istemediğiniz ve "bob" ile yanıt verdiğinde rastgele bir sayı üreticisinin sonuçlarını reddetmek mantıksız değildir.
Benzer şekilde, OP durumunda, başvurunuzun yalnızca yukarı akış servisinden geçerli bir girişi kabul ettiğinden kesinlikle emin olmalısınız. Tamam değilken ne yaptığınız size bağlıdır ve başarmaya çalıştığınız asıl işletme işlevine büyük ölçüde bağlıdır, ancak minimal olarak daha sonra hata ayıklamak için günlüğe kaydeder ve uygulamanızın geçmemesini sağlarsınız kurtarılamaz veya güvensiz bir duruma.
Birinin / bir şeyin size verebileceği her girdiyi asla bilemeseniz de, iş gereksinimlerine göre izin verilenleri kesinlikle sınırlandırabilir ve buna dayalı olarak bir tür girdi beyaz listesi yapabilirsiniz.