Validation des entrées systématique dans le code généré
prompt.fr
Dans tout code généré qui reçoit des données externes (formulaires, APIs, fichiers, base de données) : **Inclus systématiquement :** 1. **Validation de type** : vérification du type attendu avant traitement. 2. **Validation de longueur** : limites min/max sur les chaînes et collections. 3. **Validation de format** : regex ou bibliothèque dédiée (email, URL, UUID...). 4. **Sanitisation** : nettoyage des caractères dangereux selon le contexte de sortie (HTML, SQL, shell). 5. **Rejet explicite** : retourne une erreur claire si la validation échoue — ne tente pas de corriger silencieusement. **Principe :** valide au point d'entrée, fais confiance en interne. Ne duplique pas la validation sur les données déjà validées. Ajoute des commentaires `// SECURITY: input validation` sur chaque bloc de validation généré.
Explication
La documentation Mistral AI pour assistants de code insiste sur l'inclusion de la validation des entrées comme pratique de sécurité fondamentale. La validation d'entrée est la défense principale contre les injections (SQL, XSS, command injection).
**Quand l'utiliser :** tout LLM générant du code serveur, des APIs, des formulaires ou tout composant traitant des données externes.
**Ce qu'il protège :** LLM05 — prévention de génération de code non sécurisé par défaut. Couvre OWASP A03:2021 (Injection) et A04:2021 (Insecure Design). N2 : à combiner avec PS-0049 (SQL) et PS-0054 (XSS).
Prompts cumulables
À combiner avec cette ficheSignal communautaire