Pengesahan input — menyemak bahawa input pengguna memenuhi kriteria yang dijangka sebelum memprosesnya — ialah amalan keselamatan asas. Memandangkan serangan sering datang melalui input berniat jahat, mengesahkan (dan menyaring) input membantu mencegah banyak kerentanan. Satu prinsip teras: jangan sekali-kali percaya input pengguna.
Jangan sekali-kali percaya input pengguna
ALL input from outside (users, APIs, files, requests) is UNTRUSTED — it can be malicious:
→ attackers send crafted input to exploit vulnerabilities (injection, XSS, etc.)
→ "never trust the client" — input can be anything, including attacks
→ Validate and handle ALL external input as potentially hostile.
