উত্স নির্বিশেষে আপনার সফ্টওয়্যারটির ইনপুটগুলিকে কখনই বিশ্বাস করা উচিত নয়। কেবল প্রকারগুলি বৈধকরণই গুরুত্বপূর্ণ নয়, তবে ইনপুট এবং ব্যবসায়িক যুক্তিগুলিরও রয়েছে। একটি মন্তব্য প্রতি, OWASP দ্বারা এটি ভাল বর্ণনা করা হয়েছে
এটি করতে ব্যর্থ হলে সর্বোপরি আপনাকে আবর্জনা সম্পর্কিত ডেটা ছেড়ে দেবে যা আপনাকে পরে পরিষ্কার করতে হবে, তবে খারাপ অবস্থাতেই আপনি দূষিত শোষণের জন্য একটি সুযোগ ছেড়ে চলে যান যদি সেই প্রবাহের পরিষেবাটি কোনও ফ্যাশন (qv টার্গেট হ্যাক) এর সাথে আপস হয়ে যায়। এর মধ্যে সমস্যার পরিসীমা হ'ল আপনার অ্যাপ্লিকেশনটি একটি অপরিবর্তনযোগ্য রাজ্যে পাওয়ার অন্তর্ভুক্ত।
মন্তব্যগুলি থেকে আমি দেখতে পাচ্ছি যে সম্ভবত আমার উত্তরটি কিছুটা প্রসারিত হতে পারে।
"ইনপুটগুলিকে কখনই বিশ্বাস করবেন না" দ্বারা, আমি সহজভাবে বোঝাচ্ছি যে আপনি অনুমান করতে পারবেন না যে আপনি সর্বদা প্রবাহিত বা ডাউন স্ট্রিম সিস্টেমগুলি থেকে বৈধ এবং বিশ্বাসযোগ্য তথ্য পাবেন এবং তাই আপনাকে সর্বদা নিজের যোগ্যতার সেরাটিকে এই ইনপুটটি স্যানিটাইজ করা উচিত, বা প্রত্যাখ্যান করা উচিত এটা।
মন্তব্যগুলিতে একটি যুক্তি প্রকাশিত হল আমি উদাহরণের মাধ্যমে সম্বোধন করব। হ্যাঁ, আপনাকে কিছুটা ডিএসই আপনার ওএসের উপর নির্ভর করতে হবে, উদাহরণস্বরূপ, যদি আপনি 1 থেকে 10 এর মধ্যে কোনও সংখ্যার জন্য জিজ্ঞাসা করেন এবং এটি "বব" দিয়ে সাড়া দেয় তবে এটি একটি অযৌক্তিক সংখ্যা জেনারেটরের ফলাফল প্রত্যাখ্যান করা অযৌক্তিক নয়।
একইভাবে, ওপি-র ক্ষেত্রে আপনার অবশ্যই নিশ্চিত হওয়া উচিত যে আপনার অ্যাপ্লিকেশনটি কেবল প্রবাহের পরিষেবা থেকে বৈধ ইনপুট গ্রহণ করছে। আপনি যখন এটি ঠিক না করেন তখন আপনি যা করেন তা আপনার উপর নির্ভর করে এবং আপনি যে ব্যবসায়িক কার্য সম্পাদন করতে চাইছেন তার উপর অনেকটাই নির্ভর করে তবে ন্যূনতমভাবে আপনি এটি পরে ডিবাগিংয়ের জন্য লগইন করবেন এবং অন্যথায় আপনার অ্যাপ্লিকেশনটি না চলে তা নিশ্চিত করুন you' অপরিবর্তনযোগ্য বা নিরাপত্তাহীন অবস্থায়।
আপনি যে কোনও সম্ভাব্য ইনপুট কাউকে / কিছু আপনাকে দিতে পারে তা কখনই জানতে পারবেন না তবে আপনি অবশ্যই ব্যবসায়ের প্রয়োজনীয়তার উপর ভিত্তি করে যা অনুমোদিত তা সীমাবদ্ধ করতে পারেন এবং তার ভিত্তিতে কিছু ইনপুট হোয়াইটলিস্ট করতে পারেন।