La validation des entrées — vérifier que l'entrée utilisateur répond aux critères attendus avant de la traiter — est une pratique de sécurité fondamentale. Puisque les attaques proviennent souvent par des entrées malveillantes, valider (et nettoyer) les entrées aide à prévenir de nombreuses vulnérabilités. Un principe fondamental : ne jamais faire confiance à l'entrée utilisateur.
Ne jamais faire confiance à l'entrée utilisateur
ALL input from outside (users, APIs, files, requests) is UNTRUSTED — it can be malicious:
→ attackers send crafted input to exploit vulnerabilities (injection, XSS, etc.)
→ "never trust the client" — input can be anything, including attacks
→ Validate and handle ALL external input as potentially hostile.
