CGI输入其实是指定的一组环境变量和标准输入。这些值必须被证实。
一个额外的复杂情况是很多CGI输入采用所谓的“URL编码”格式提供,即某些值是以%HH的格式编写的,其中HH是相应字节的十六进制代码。你或着你的CGI库必须正确处理这些输入,先URL解码输入,再检查作为结果的字节值是否可以接受。必须正确处理所有的值,包括可能有问题的值,如%00(NIL)和%0A(换行)。不要对输入多次解码,否则诸如“%2500”的输入会被错误处理(%25会翻译成“%”,结果“%00”又会被错误地翻译成NIL字符)。
CGI脚本一般会受到包含特殊字符输入的攻击;参见上面的说明。
某些HTML表格包括客户端的检查,以去除某些非法值。这种检查对用户可能有些帮助,但对安全性毫无用处,因为攻击者可以直接向WEB服务器发送这样的“非法”字符。如下文说到的那样(在“只信任值得信任的通道”一节),服务器必须对所有输入进行自己的检查。