सुरक्षाको लागि इनपुट मान्यताकरण किन महत्त्वपूर्ण छ?

Question

Accepted Answer

**इनपुट मान्यताकरण** — प्रयोगकर्ताको इनपुट प्रक्रिया गर्नु अगाडि यो अपेक्षित मापदण्ड पूरा गर्छ वा गर्दैन भनी जाँच गर्नु — एक मौलिक सुरक्षा अभ्यास हो। आक्रमणहरू प्रायः दुर्भावनापूर्ण इनपुटको माध्यमबाट आउन भएकोले, इनपुट मान्यताकरण (र सफाइ) गरिरहेको अनेक कमजोरीलाई रोक्न सहायता गर्छ। एक मूल सिद्धान्त: **प्रयोगकर्ता इनपुटलाई कहिल्यै विश्वास नगर्नुस्**।

## प्रयोगकर्ता इनपुटलाई कहिल्यै विश्वास नगर्नुस्

```text
ALL input from outside (users, APIs, files, requests) is UNTRUSTED — it can be malicious:
  → attackers send crafted input to exploit vulnerabilities (injection, XSS, etc.)
  → "never trust the client" — input can be anything, including attacks
→ Validate and handle ALL external input as potentially hostile.
```

## इनपुट मान्यताकरणले के गर्छ

```text
VALIDATION → check input meets expected criteria; reject what doesn't:
  → TYPE (is it a number?), FORMAT (valid email?), RANGE (0-120?), LENGTH (max?),
    allowed values (whitelist), required fields
  → PREFER ALLOWLISTING (accept known-good) over blocklisting (reject known-bad —
    incomplete; attackers find bypasses)
→ reject/handle invalid input safely (don't process it)
```

## मान्यताकरण र सुरक्षा (बहु-स्तरीय रक्षा)

```text
✓ Helps prevent INJECTION attacks, malformed-data exploits, buffer issues, logic abuse
⚠️ But validation ALONE isn't enough — use CONTEXT-SPECIFIC defenses too:
  → SQL → parameterized queries (not just validation)
  → output to HTML → escaping (prevents XSS) — validation isn't a substitute
→ Input validation is one LAYER (defense in depth), not the only defense.
✓ Validate on the SERVER (client-side validation is for UX only — easily bypassed)
```

## किन यो महत्त्वपूर्ण छ

इनपुट मान्यताकरण सुरक्षाको लागि किन महत्त्वपूर्ण छ भनी बुझ्नु मौलिक छ किनभने **आक्रमणहरू प्राय: दुर्भावनापूर्ण इनपुटको माध्यमबाट आउन भेक्का छन्**, र प्रयोगकर्ता इनपुटलाई कहिल्यै विश्वास नगर्नुस् भन्ने सिद्धान्त सुरक्षित कोडिङको अधिकांश अंशको आधार हो, त्यसैले यो अपरिहार्य सुरक्षा ज्ञान हो।

मूल सिद्धान्त — **प्रयोगकर्ता इनपुटलाई कहिल्यै विश्वास नगर्नुस्** (बाहिरबाट आउने सबै इनपुट अविश्वस्त र सम्भावित रूपमा दुर्भावनापूर्ण हो, किनकि आक्रमणकारीहरू कमजोरीहरू शोषण गर्नको लागि तैयार इनपुट पठाउँछन्) — सुरक्षा सोच्नको लागि मौलिक छ र व्यापक रूपमा लागू हुन्छ।

इनपुट मान्यताकरणले **के गर्छ** भनी बुझ्नु (इनपुटले अपेक्षित मापदण्ड पूरा गर्छ वा गर्दैन भनी जाँच गर्नु — प्रकार, ढाँचा, दायरा, लम्बाइ, अनुमति प्राप्त मानहरू — र जो गर्दैनन् त्यसलाई अस्वीकार गर्नु, ज्ञात-खराब लाई ब्लकलिस्ट गर्नु भन्दा आगो ज्ञात-राम्रो लाई **allowlisting** गर्न पसंद गर्नु जो अधूरो छ) व्यावहारिक संयन्त्र हो अविश्वस्त इनपुटलाई सुरक्षित रूपमा सम्हाल्नको लागि।

मान्यताकरणको **बहु-स्तरीय रक्षामा भूमिका** बुझ्नु महत्त्वपूर्ण र सूक्ष्म छ: मान्यताकरणले इन्जेक्सन आक्रमण र गलत-डेटा शोषणलाई रोक्न सहायता गर्छ, तर **मान्यताकरण एकै आप्नै पर्याप्त छैन** — संदर्भ-विशेष रक्षाहरू पनि आवश्यक हुन्छन् (SQL को लागि parametrized queries, XSS को लागि output escaping — मान्यताकरणले यिनको स्थानमा काम गर्दैन)।

त्यसैले इनपुट मान्यताकरण **एक स्तर** अनेक मध्ये हो, एकमात्र रक्षा होइन — एक महत्त्वपूर्ण भेद जसले मान्यताकरणमा अत्यधिक निर्भरता रोक्छ।

महत्त्वपूर्ण रूपमा, मान्यताकरण **सर्भर** मा हुनु पर्छ भनी बुझ्नु (ग्राहक-पक्ष मान्यताकरण केवल UX को लागि हो र सजिलै ब्याधिसकिन्छ — यसमा निर्भर हुनु एक सामान्य सुरक्षा गल्ति हो) अपरिहार्य छ।

आक्रमणहरू प्राय: दुर्भावनापूर्ण इनपुटको माध्यमबाट आउन भेक्का छन् र कहिल्यै विश्वास नगर्नुस् भन्ने सिद्धान्त सुरक्षित कोडिङको आधार हो, र इनपुट मान्यताकरण (सर्भरमा गरिएको, संदर्भ-विशेष सुरक्षाहरूको साथ बहु-स्तरीय रक्षाको एक स्तरको रूपमा) अनेक कमजोरीलाई रोक्न सहायता गर्छ, र यसको भूमिका र सीमाहरू बुझ्नु सुरक्षित विकासको लागि अपरिहार्य छ, सुरक्षित इनपुट मान्यताकरण किन महत्त्वपूर्ण छ भनी बुझ्नु मौलिक, अपरिहार्य सुरक्षा ज्ञान हो — मौलिक कहिल्यै विश्वास नगर्नुस् भन्ने सिद्धान्तको मूर्ति रूप, रक्षाको एक मूल स्तर, र सुरक्षित सफ्टवेयर निर्माण गर्नको लागि आवश्यक बुझाइ (यसको उपयुक्त सर्भर-पक्ष अनुप्रयोग र बहु-स्तरीय रक्षामा यसको स्थान सहित) हो।