Sanitize là gì?

Trong thế giới thực, sanitize là "làm sạch" bất cứ thứ gì khỏi "những thứ xấu". Trong khoa học máy tính nó có nghĩa tương tự chủ yếu vì mục đích bảo mật. Sanitize nghĩa là xóa mọi ký tự bất hợp pháp khỏi dữ liệu để bảo vệ hệ thống khỏi dữ liệu độc hại (malicious data).

Ví dụ: người dùng có thể nhập bất kỳ thứ gì trong form và gửi nó. Giá trị đầu vào có thể nguy hiểm. Nó có thể là một mã độc hại, chẳng hạn như với SQL injection.

Viết một bài trên blog có thể là một ví dụ điển hình cho chúng ta. Người dùng nhập một số mã HTML hoặc thông qua trình soạn thảo WYSIWYG và chúng ta lưu trữ nó trong cơ sở dữ liệu (database) và sau đó chúng tahiển thị nó. Vì vậy, điều gì sẽ xảy ra nếu người dùng sao chép và dán một số mã từ internet và chứa thẻ <script> có chứa một số mã độc hại? Đối với trường hợp này, chúng ta sẽ thực hiện HTML sanitization.