Bạn không bao giờ nên tin tưởng đầu vào cho phần mềm của mình, bất kể nguồn nào. Không chỉ xác nhận các loại là quan trọng, mà còn phạm vi đầu vào và logic kinh doanh là tốt. Mỗi bình luận, điều này được mô tả tốt bởi OWASP
Không làm như vậy tốt nhất sẽ để lại cho bạn dữ liệu rác mà sau này bạn phải dọn sạch, nhưng tệ nhất là bạn sẽ để lại cơ hội khai thác độc hại nếu dịch vụ ngược dòng đó bị xâm phạm theo cách nào đó (qv hack Target). Một loạt các vấn đề ở giữa bao gồm việc đưa ứng dụng của bạn vào trạng thái không thể phục hồi.
Từ các bình luận tôi có thể thấy rằng có lẽ câu trả lời của tôi có thể sử dụng một chút mở rộng.
Bằng cách "không bao giờ tin vào đầu vào", tôi chỉ đơn giản là bạn không thể cho rằng bạn sẽ luôn nhận được thông tin hợp lệ và đáng tin cậy từ các hệ thống ngược dòng hoặc hạ nguồn, và do đó bạn nên luôn vệ sinh đầu vào đó với khả năng tốt nhất của mình hoặc từ chối nó
Một đối số nổi lên trong các ý kiến tôi sẽ giải quyết bằng ví dụ. Mặc dù có, bạn phải tin tưởng hệ điều hành của mình ở một mức độ nào đó, chẳng hạn, không hợp lý, từ chối kết quả của trình tạo số ngẫu nhiên nếu bạn yêu cầu nó cho số từ 1 đến 10 và nó trả lời bằng "bob".
Tương tự, trong trường hợp của OP, bạn chắc chắn nên đảm bảo ứng dụng của mình chỉ chấp nhận đầu vào hợp lệ từ dịch vụ ngược dòng. Những gì bạn làm khi không ổn là tùy thuộc vào bạn và phụ thuộc rất nhiều vào chức năng kinh doanh thực tế mà bạn đang cố gắng thực hiện, nhưng tối thiểu bạn sẽ đăng nhập nó để gỡ lỗi sau và nếu không thì đảm bảo rằng ứng dụng của bạn không hoạt động vào trạng thái không thể phục hồi hoặc không an toàn.
Mặc dù bạn không bao giờ có thể biết mọi đầu vào có thể có ai đó / thứ gì đó có thể cung cấp cho bạn, nhưng bạn chắc chắn có thể giới hạn những gì được phép dựa trên yêu cầu kinh doanh và thực hiện một số hình thức danh sách trắng đầu vào dựa trên điều đó.