« Le problème le plus courant, et le plus grave, que l'on rencontre dans les applications Web naît du manque de filtrage des entrées fournies par l'utilisateur : les développeurs ont du mal à comprendre qu'il ne faut pas faire confiance à l'utilisateur ! », observe Stéphane Fermigier, fondateur de Nuxeo, une société de développement d'applications Web. En effet, lorsqu'un utilisateur entre des informations par le biais de formulaires Web et autres zones de saisie (des URL ou des adresses, par exemple), celles-ci doivent être correctement filtrées, sinon elles peuvent permettre de glisser dans le système des commandes et des codes actifs potentiellement malicieux.

« Le risque est très élevé lorsque les données fournies par l'utilisateur sont réutilisées telles quelles par l'application, par exemple comme paramètres à une commande système ou dans la fabrication d'une requête SQL. Le problème vient souvent du fait que les développeurs estiment devoir fournir une application qui fonctionne, tout simplement. Ils ne connaissent pas les risques et ne se mettent pas à la place des pirates », conclut Stéphane Fermigier.