Validasi input — memeriksa bahwa input pengguna memenuhi kriteria yang diharapkan sebelum memprosesnya — adalah praktik keamanan dasar. Karena serangan sering datang melalui input berbahaya, memvalidasi (dan membersihkan) input membantu mencegah banyak kerentanan. Prinsip inti: jangan pernah mempercayai input pengguna.
Jangan pernah mempercayai input pengguna
ALL input from outside (users, APIs, files, requests) is UNTRUSTED — it can be malicious:
→ attackers send crafted input to exploit vulnerabilities (injection, XSS, etc.)
→ "never trust the client" — input can be anything, including attacks
→ Validate and handle ALL external input as potentially hostile.
