不适当的输入验证

不适当输入验证（Improper input validation）^[1]或未检查用户输入（unchecked user input）是软件中可能会被利用的漏洞^[2]。此漏洞是指“程序没有验证（或是以不正确方式验证）可能会影响程序资料流或是控制流的输入。”^[1]

例子包括有：

缓冲区溢出：在缓冲区写入超过缓冲区大小的资料，因此覆盖到其他的记亿体。
跨网站脚本：在网页中注入恶意的代码，其他人阅读网站时会受到影响。
目录遍历：利用程序的缺陷，可以访问授权目录以外的目录。
空字符注入
SQL注入：在输入字符串中架带SQL指令，使程序执行这些SQL指令。
不受控格式化字符串（英语：Uncontrolled format string）：利用printf中的格式化字符串，读取其他位置的资料。

参考资料

^ ^1.0 ^1.1 CWE-20: Improper Input Validation. Common Weakness Enumeration. MITRE. 2010-12-13 [2011-02-22]. （原始内容存档于2011-07-23）.
^ Erickson, Jon. Hacking: the art of exploitation. No Starch Press Series 2, illustrated. Safari Books Online. 2008. ISBN 978-1-59327-144-2.

检索自“https://zh.wikipedia.org/w/index.php?title=不適當的輸入驗證&oldid=80196811”