Anda tidak boleh mempercayai input ke perangkat lunak Anda, apa pun sumbernya. Tidak hanya memvalidasi jenis-jenis itu penting, tetapi juga rentang input dan logika bisnis juga. Per komentar, ini dijelaskan dengan baik oleh OWASP
Jika tidak melakukannya, paling tidak akan meninggalkan Anda dengan data sampah yang harus Anda bersihkan nanti, tetapi paling buruk Anda akan meninggalkan peluang untuk eksploitasi berbahaya jika layanan hulu itu dikompromikan dengan cara tertentu (qv Target hack). Berbagai masalah di antaranya termasuk membuat aplikasi Anda dalam kondisi yang tidak dapat dipulihkan.
Dari komentar saya dapat melihat bahwa mungkin jawaban saya bisa menggunakan sedikit ekspansi.
Dengan "jangan pernah mempercayai input", saya hanya bermaksud bahwa Anda tidak dapat berasumsi bahwa Anda akan selalu menerima informasi yang valid dan dapat dipercaya dari sistem hulu atau hilir, dan oleh karena itu Anda harus selalu membersihkan input tersebut dengan kemampuan terbaik Anda, atau menolak saya t.
Satu argumen muncul di komentar yang akan saya bahas melalui contoh. Meskipun ya, Anda harus mempercayai OS Anda sampai taraf tertentu, itu tidak masuk akal untuk, misalnya, menolak hasil generator angka acak jika Anda memintanya untuk angka antara 1 dan 10 dan merespons dengan "bob".
Demikian pula, dalam kasus OP, Anda harus memastikan bahwa aplikasi Anda hanya menerima input yang valid dari layanan hulu. Apa yang Anda lakukan saat tidak apa-apa terserah Anda, dan sangat tergantung pada fungsi bisnis aktual yang ingin Anda capai, tetapi minimal Anda akan mencatatnya untuk debugging nanti dan memastikan aplikasi Anda tidak berjalan dalam keadaan tidak dapat dipulihkan atau tidak aman.
Meskipun Anda tidak akan pernah tahu setiap input yang mungkin diberikan seseorang / sesuatu kepada Anda, Anda tentu dapat membatasi apa yang diperbolehkan berdasarkan persyaratan bisnis dan melakukan beberapa bentuk input whitelist berdasarkan itu.