La validazione degli input in Node.js non \u00e8 un dettaglio di implementazione: \u00e8 la prima linea di difesa contro SQL injection, XSS, command injection e una dozzina di altri attacchi classificati da OWASP come A03:2021. Un form non validato pu\u00f2 esporre il tuo database in meno di 60 secondi. Questa guida mostra come usare Zod 4.4.3 (201 milioni di download settimanali su npm), Joi 18.2.3 (23 milioni) ed express-validator 7.3.2 (2 milioni) per costruire un’API Express sicura in 12 step concreti, con esempi di codice pronti per la produzione.<\/p>\n\n\n\n
OWASP Top 10 2021 posiziona l’injection al terzo posto (A03:2021), con SQL injection e XSS che restano le vulnerabilit\u00e0 pi\u00f9 sfruttate nelle applicazioni web. Il rilascio di sicurezza di Node.js del 24 marzo 2026 ha corretto 8 CVE sulle release attive v20.x, v22.x e v24.x, di cui 2 ad alta gravit\u00e0, 4 a gravit\u00e0 media e 2 a bassa gravit\u00e0. Il rilascio di sicurezza di gennaio 2026 aveva gi\u00e0 corretto 3 problemi di alta gravit\u00e0. Questo ritmo di patch conferma che anche il runtime stesso \u00e8 un vettore di attacco attivo, non solo il codice applicativo.<\/p>\n\n\n\n
Express 5.2.1 non filtra automaticamente nessun dato in ingresso: tutto ci\u00f2 che arriva in Il vantaggio delle librerie di validazione rispetto al codice manuale \u00e8 la standardizzazione degli errori, la composizione degli schemi e la sanitizzazione integrata. Tre librerie coprono quasi ogni caso d’uso con API diverse e punti di forza complementari, che imparerai a confrontare e scegliere in questa guida.<\/p>\n\n\n\n Crea una directory pulita e inizializza il progetto con le dipendenze principali. Express 5 include il supporto nativo alle promise nelle route handler, eliminando la necessit\u00e0 di Crea il file principale dell’applicazione con i middleware di sicurezza di base. Il limite di 10 KB sul body previene gli attacchi di tipo body-flooding. La configurazione express-validator 7.3.2 offre un’API a catena direttamente nelle route Express. Le funzioni Il middleware La validazione dice se un dato \u00e8 accettabile. La sanitizzazione trasforma i dati in una forma sicura prima che raggiungano il database o vengano restituiti al client. express-validator include sanitizzatori integrati che operano nella stessa catena di validazione, senza bisogno di librerie aggiuntive per i casi pi\u00f9 comuni.<\/p>\n\n\n\n Attenzione critica:<\/strong> Joi 18.2.3 definisce schemi di validazione come oggetti JavaScript separati dalle route. Questo approccio \u00e8 preferibile quando hai schemi complessi, dipendenze condizionali tra campi ( L’opzione Zod 4.4.3 ha superato 201 milioni di download settimanali, diventando la libreria di validazione pi\u00f9 scaricata su npm. Il suo vantaggio principale rispetto a Joi \u00e8 l’inferenza automatica dei tipi TypeScript dagli schemi: definisci lo schema una volta e ottieni automaticamente il tipo corrispondente senza duplicazione di codice. Zod 4 introduce performance significativamente migliorate rispetto a Zod 3 e una sintassi pi\u00f9 compatta per i messaggi di errore.<\/p>\n\n\n\n Usa sempre La scelta tra express-validator, Joi e Zod dipende dal contesto del progetto, dalla presenza di TypeScript e dalla complessit\u00e0 degli schemi. Nessuna delle tre \u00e8 superiore in assoluto: hanno punti di forza diversi che le rendono adatte a scenari diversi.<\/p>\n\n\n\n La validazione degli input riduce la superficie di attacco rifiutando dati malformati. Ma non sostituisce le query parametrizzate: anche con input validato, un carattere legittimo come l’apostrofo nel cognome O’Brien pu\u00f2 causare SQL injection in una query concatenata. Usa sempre i placeholder del driver del database per separare codice SQL e dati utente.<\/p>\n\n\n\n Per PostgreSQL con il driver Un'architettura scalabile separa gli schemi di validazione dalla logica delle route. Il pattern factory crea middleware riutilizzabili a partire dagli schemi Zod o Joi. Ogni route riceve la validazione appropriata con una sola riga di codice, senza ripetere la gestione degli errori.<\/p>\n\n\n\n Quando la tua applicazione deve accettare HTML ricco da parte degli utenti (editor WYSIWYG, commenti formattati, descrizioni prodotti), Salva sempre l'HTML sanitizzato nel database, non l'HTML grezzo. Sanitizzare solo al momento della visualizzazione lascia dati pericolosi persistenti: se la logica di display cambia o viene introdotto un bug che bypassa il sanitizzatore, il payload XSS salvato nel database diventa attivo. La sanitizzazione pre-persist \u00e8 l'unica strategia difendibile a lungo termine.<\/p>\n\n\n\n L'upload di file \u00e8 una delle superfici di attacco pi\u00f9 pericolose nelle API REST. Un attaccante pu\u00f2 caricare file eseguibili rinominati con estensione immagine, file con nomi che traversano directory come Alcune regole di validazione richiedono l'accesso al database: verificare che un username non sia gi\u00e0 registrato, che un codice coupon esista e non sia scaduto, che un prodotto appartenga all'utente autenticato prima di permettere la modifica. Tutte e tre le librerie supportano validatori asincroni, con sintassi leggermente diverse.<\/p>\n\n\n\n I test di validazione devono coprire sia il percorso felice (input validi) sia ogni caso di errore: campi mancanti obbligatori, formati errati, valori fuori range, payload SQL injection, payload XSS e tentativi di mass-assignment. Un test per ogni regola di validazione \u00e8 il livello minimo accettabile per la produzione.<\/p>\n\n\n\nreq.body<\/code>, req.params<\/code> e req.query<\/code> \u00e8 una stringa non attendibile senza validazione esplicita. Un attaccante che invia {\"isAdmin\": true}<\/code> insieme a dati legittimi pu\u00f2 scalare privilegi se il controller non rimuove i campi non attesi. La validazione previene questo scenario prima ancora che i dati raggiungano la logica di business.<\/p>\n\n\n\nPrerequisiti<\/h2>\n\n\n\n
Requisito<\/th> Versione<\/th> Note<\/th><\/tr><\/thead> Node.js LTS<\/td> v24.17.0 (Krypton, rilasciato 17 giugno 2026)<\/td> Compatibile anche con v20.x e v22.x<\/td><\/tr> npm<\/td> 11.13.0<\/td> Incluso con Node.js v24<\/td><\/tr> Express<\/td> 5.2.1<\/td> Versione stabile attuale<\/td><\/tr> express-validator<\/td> 7.3.2<\/td> Middleware nativo Express<\/td><\/tr> Joi<\/td> 18.2.3<\/td> Schema validation enterprise<\/td><\/tr> Zod<\/td> 4.4.3<\/td> TypeScript-first, 201M download\/settimana<\/td><\/tr> TypeScript (opzionale)<\/td> 5.8.3<\/td> Richiesto per la type inference di Zod<\/td><\/tr> Conoscenze<\/td> JavaScript ES2022, REST API, HTTP<\/td> Async\/await, destructuring<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Step 1: Creazione del progetto Express<\/h2>\n\n\n\n
express-async-errors<\/code>. I middleware si registrano in ordine: prima JSON parsing, poi le route, infine il gestore di errori globale.<\/p>\n\n\n\nmkdir node-validation-demo && cd node-validation-demo\nnpm init -y\n\n# Dipendenze produzione\nnpm install express@5.2.1 \\\n express-validator@7.3.2 \\\n joi@18.2.3 \\\n zod@4.4.3 \\\n sanitize-html@2.17.5 \\\n mysql2@3.11.0 \\\n multer@1.4.5-lts.2 \\\n file-type@19.0.0\n\n# Dipendenze sviluppo\nnpm install --save-dev \\\n typescript@5.8.3 \\\n ts-node@10.9.2 \\\n @types\/node \\\n @types\/express \\\n @types\/sanitize-html \\\n jest@29 \\\n supertest@7 \\\n @types\/supertest<\/code><\/pre>\n\n\n\ntrust proxy<\/code> \u00e8 necessaria se l’app gira dietro Nginx o un load balancer per ottenere l’IP reale del client.<\/p>\n\n\n\n\/\/ app.js\nconst express = require('express');\nconst app = express();\n\n\/\/ Parsing del body con limite di dimensione\napp.use(express.json({ limit: '10kb' }));\napp.use(express.urlencoded({ extended: true, limit: '10kb' }));\n\n\/\/ Gestione errori globale (Express 5: gestisce anche errori async)\napp.use((err, req, res, next) => {\n if (err.type === 'entity.too.large') {\n return res.status(413).json({ success: false, message: 'Payload troppo grande' });\n }\n console.error(err.stack);\n res.status(500).json({ success: false, message: 'Errore interno del server' });\n});\n\nconst PORT = process.env.PORT || 3000;\napp.listen(PORT, () => console.log(`Server attivo su porta ${PORT}`));\n\nmodule.exports = app;<\/code><\/pre>\n\n\n\nStep 2: Prima validazione con express-validator<\/h2>\n\n\n\n
body()<\/code>, param()<\/code> e query()<\/code> coprono tutte le sorgenti di input. Ogni chiamata alla catena aggiunge una regola di validazione; la funzione validationResult(req)<\/code> raccoglie tutti gli errori accumulati a fine catena.<\/p>\n\n\n\n\/\/ routes\/users.js\nconst express = require('express');\nconst { body, param, query, validationResult } = require('express-validator');\nconst router = express.Router();\n\n\/\/ Middleware riutilizzabile: raccoglie errori e risponde con 422\nconst handleValidation = (req, res, next) => {\n const errors = validationResult(req);\n if (!errors.isEmpty()) {\n return res.status(422).json({\n success: false,\n errors: errors.array().map(e => ({\n field: e.path,\n message: e.msg,\n received: e.value\n }))\n });\n }\n next();\n};\n\n\/\/ Route di registrazione con validazione completa\nrouter.post(\n '\/register',\n [\n body('username')\n .trim()\n .isLength({ min: 3, max: 30 })\n .withMessage('Username: da 3 a 30 caratteri')\n .matches(\/^[a-zA-Z0-9_]+$\/)\n .withMessage('Username: solo lettere, numeri e underscore')\n .toLowerCase(),\n\n body('email')\n .trim()\n .normalizeEmail()\n .isEmail()\n .withMessage('Indirizzo email non valido'),\n\n body('password')\n .isLength({ min: 12 })\n .withMessage('Password: minimo 12 caratteri')\n .matches(\/^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)(?=.*[@$!%*?&])\/)\n .withMessage('Richiesta: maiuscola, minuscola, numero e simbolo'),\n\n body('age')\n .optional()\n .isInt({ min: 13, max: 120 })\n .withMessage('Et\u00e0: valore tra 13 e 120')\n .toInt(),\n\n body('website')\n .optional()\n .isURL({ protocols: ['https'], require_protocol: true })\n .withMessage('URL deve usare HTTPS'),\n ],\n handleValidation,\n async (req, res) => {\n const { username, email, age, website } = req.body;\n \/\/ I dati sono stati validati e sanitizzati: sicuri da usare\n res.status(201).json({\n success: true,\n data: { username, email, age, website }\n });\n }\n);\n\nmodule.exports = router;<\/code><\/pre>\n\n\n\nhandleValidation<\/code> centralizza la gestione degli errori. Questo pattern elimina la duplicazione del codice di controllo in ogni route. La risposta 422 (Unprocessable Entity) \u00e8 pi\u00f9 semanticamente corretta di 400 (Bad Request) per errori di validazione: il server ha capito la richiesta, ma i dati non sono processabili.<\/p>\n\n\n\nStep 3: Sanitizzazione integrata con express-validator<\/h2>\n\n\n\n
Sanitizzatore<\/th> Cosa fa<\/th> Quando usarlo<\/th><\/tr><\/thead> .trim()<\/code><\/td>Rimuove spazi iniziali e finali<\/td> Tutti i campi stringa<\/td><\/tr> .escape()<\/code><\/td>Converte < > & \" '<\/code> in entit\u00e0 HTML<\/td>Testo plain visualizzato in HTML<\/td><\/tr> .normalizeEmail()<\/code><\/td>Lowercase, rimuove alias Gmail (+tag)<\/td> Campi email<\/td><\/tr> .toInt()<\/code><\/td>Converte stringa in intero<\/td> ID, et\u00e0, quantit\u00e0<\/td><\/tr> .toFloat()<\/code><\/td>Converte stringa in float<\/td> Prezzi, coordinate GPS<\/td><\/tr> .toBoolean()<\/code><\/td>Converte in boolean<\/td> Flag, preferenze utente<\/td><\/tr> .toLowerCase()<\/code><\/td>Tutto in minuscolo<\/td> Username, slug, codici<\/td><\/tr> .stripLow()<\/code><\/td>Rimuove caratteri di controllo ASCII<\/td> Campi testo libero<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n .escape()<\/code> converte <b>testo<\/b><\/code> in <b>testo<\/b><\/code>, rompendo la formattazione HTML. Se permetti HTML ricco (editor WYSIWYG, commenti formattati), usa sanitize-html<\/code> al posto di .escape()<\/code>. Vedi Step 9 per la configurazione completa.<\/p>\n\n\n\nStep 4: Schema validation con Joi<\/h2>\n\n\n\n
Joi.when()<\/code>) o quando vuoi riutilizzare lo stesso schema in pi\u00f9 parti dell’applicazione. Con 23 milioni di download settimanali, Joi \u00e8 la scelta dominante nei backend enterprise Node.js.<\/p>\n\n\n\n\/\/ schemas\/productSchema.js\nconst Joi = require('joi');\n\nconst productSchema = Joi.object({\n name: Joi.string()\n .trim()\n .min(2)\n .max(100)\n .required()\n .messages({\n 'string.min': 'Il nome deve avere almeno 2 caratteri',\n 'string.max': 'Il nome non pu\u00f2 superare 100 caratteri',\n 'any.required': 'Il nome \u00e8 obbligatorio'\n }),\n\n price: Joi.number()\n .positive()\n .precision(2)\n .max(99999.99)\n .required()\n .messages({\n 'number.positive': 'Il prezzo deve essere positivo',\n 'number.max': 'Prezzo massimo: 99.999,99 \u20ac'\n }),\n\n category: Joi.string()\n .valid('elettronica', 'abbigliamento', 'alimentari', 'sport', 'casa')\n .required()\n .messages({\n 'any.only': 'Categoria non valida. Valori accettati: elettronica, abbigliamento, alimentari, sport, casa'\n }),\n\n tags: Joi.array()\n .items(Joi.string().trim().lowercase().max(30))\n .max(10)\n .unique()\n .default([]),\n\n description: Joi.string().trim().max(2000).optional().allow(''),\n\n sku: Joi.string()\n .uppercase()\n .pattern(\/^[A-Z]{3}-\\d{6}$\/)\n .required()\n .messages({\n 'string.pattern.base': 'Formato SKU: XXX-000000 (3 lettere, trattino, 6 cifre)'\n }),\n\n \/\/ Validazione condizionale: se isDigital \u00e8 true, downloadUrl \u00e8 obbligatorio\n isDigital: Joi.boolean().default(false),\n downloadUrl: Joi.when('isDigital', {\n is: true,\n then: Joi.string().uri({ scheme: ['https'] }).required()\n .messages({ 'any.required': 'URL download obbligatorio per prodotti digitali' }),\n otherwise: Joi.forbidden()\n })\n});\n\n\/\/ Middleware di validazione Joi\nconst validateProduct = (req, res, next) => {\n const { error, value } = productSchema.validate(req.body, {\n abortEarly: false, \/\/ Raccoglie tutti gli errori, non solo il primo\n stripUnknown: true, \/\/ Rimuove campi extra (previene mass assignment)\n convert: true \/\/ Converte i tipi automaticamente\n });\n\n if (error) {\n return res.status(422).json({\n success: false,\n errors: error.details.map(d => ({\n field: d.path.join('.'),\n message: d.message\n }))\n });\n }\n\n req.body = value; \/\/ Sostituisce il body con i dati validati\/sanitizzati\n next();\n};\n\nmodule.exports = { productSchema, validateProduct };<\/code><\/pre>\n\n\n\nstripUnknown: true<\/code> \u00e8 la difesa pi\u00f9 importante contro gli attacchi di mass-assignment. Rimuove silenziosamente tutti i campi non dichiarati nello schema prima che raggiungano il controller. Senza di essa, un attaccante pu\u00f2 inviare {\"name\": \"Prodotto\", \"isAdmin\": true}<\/code> e il campo isAdmin<\/code> arriver\u00e0 intatto al controller e poi al database.<\/p>\n\n\n\nStep 5: TypeScript-first validation con Zod<\/h2>\n\n\n\n
safeParse()<\/code> nelle API, mai parse()<\/code>: safeParse()<\/code> restituisce un oggetto con success<\/code> booleano senza mai lanciare eccezioni, mentre parse()<\/code> genera un ZodError<\/code> non gestito se la validazione fallisce. Usa parse()<\/code> solo nei test dove vuoi che l’errore interrompa il test stesso.<\/p>\n\n\n\nStep 6: Confronto tra le tre librerie<\/h2>\n\n\n\n
Caratteristica<\/th> express-validator 7.3.2<\/th> Joi 18.2.3<\/th> Zod 4.4.3<\/th><\/tr><\/thead> Download settimanali npm<\/td> 2,04 milioni<\/td> 23,2 milioni<\/td> 201,6 milioni<\/td><\/tr> TypeScript support<\/td> Parziale (tipi base)<\/td> Buono<\/td> Eccellente (nativo)<\/td><\/tr> Inferenza tipi automatica<\/td> No<\/td> No<\/td> Si ( z.infer<\/code>)<\/td><\/tr>Integrazione Express<\/td> Nativa (middleware)<\/td> Via factory middleware<\/td> Via factory middleware<\/td><\/tr> Bundle size (minified)<\/td> ~50 KB<\/td> ~145 KB<\/td> ~64 KB (v4)<\/td><\/tr> Validazione condizionale<\/td> Limitata<\/td> Eccellente ( Joi.when<\/code>)<\/td>Buona ( z.discriminatedUnion<\/code>)<\/td><\/tr>Validazione asincrona<\/td> Si (custom validator)<\/td> Si ( validateAsync<\/code>)<\/td>Si ( z.promise<\/code>)<\/td><\/tr>Strip campi extra<\/td> No (automatico)<\/td> Si ( stripUnknown<\/code>)<\/td>Si ( strip()<\/code>, default)<\/td><\/tr>Curva di apprendimento<\/td> Bassa<\/td> Media<\/td> Media<\/td><\/tr> Migliore per<\/td> Prototipi Express, migrazione graduale<\/td> Backend enterprise, schemi complessi<\/td> Progetti TypeScript, full-stack<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Step 7: Prevenzione SQL Injection con query parametrizzate<\/h2>\n\n\n\n
\/\/ db\/queries.js\nconst mysql2 = require('mysql2\/promise');\n\nconst pool = mysql2.createPool({\n host: process.env.DB_HOST,\n user: process.env.DB_USER,\n password: process.env.DB_PASSWORD,\n database: process.env.DB_NAME,\n waitForConnections: true,\n connectionLimit: 10,\n namedPlaceholders: true \/\/ Permette l'uso di :nome invece di ?\n});\n\n\/\/ VULNERABILE - SQL injection possibile\nasync function getUserByEmailUnsafe(email) {\n const query = `SELECT * FROM users WHERE email = '${email}'`;\n \/\/ Un attaccante invia: ' OR '1'='1' --\n \/\/ La query diventa: WHERE email = '' OR '1'='1' -- '\n \/\/ Restituisce TUTTI gli utenti\n const [rows] = await pool.execute(query);\n return rows[0];\n}\n\n\/\/ SICURO - query parametrizzata con placeholder\nasync function getUserByEmail(email) {\n const [rows] = await pool.execute(\n 'SELECT id, username, email, created_at FROM users WHERE email = ? AND active = 1',\n [email] \/\/ Il driver esegue l'escape automatico\n );\n return rows[0] || null;\n}\n\n\/\/ SICURO - ricerca con placeholder multipli\nasync function searchProducts(name, category, maxPrice) {\n const [rows] = await pool.execute(\n `SELECT id, name, price, category, sku\n FROM products\n WHERE name LIKE ? AND category = ? AND price <= ? AND active = 1\n ORDER BY price ASC\n LIMIT 50`,\n [`%${name.replace(\/[%_]\/g, '\\\\$&')}%`, category, maxPrice]\n \/\/ Escape dei metacaratteri LIKE: % e _ vengono preceduti da \\\n );\n return rows;\n}\n\n\/\/ SICURO - INSERT con named placeholders\nasync function createProduct({ name, price, category, sku }) {\n const [result] = await pool.execute(\n `INSERT INTO products (name, price, category, sku, created_at)\n VALUES (:name, :price, :category, :sku, NOW())`,\n { name, price, category, sku }\n );\n return result.insertId;\n}\n\nmodule.exports = { getUserByEmail, searchProducts, createProduct };<\/code><\/pre>\n\n\n\npg<\/code>, usa $1, $2, $3<\/code> come placeholder. Con Prisma o TypeORM, le query parametrizzate sono gestite automaticamente dall'ORM, ma devi comunque validare gli input prima che raggiungano l'ORM per prevenire operazioni non autorizzate come where: {}<\/code> che in Prisma seleziona tutti i record.<\/p>\n\n\n\nStep 8: Middleware di validazione centralizzato<\/h2>\n\n\n\n
Step 9: Prevenzione XSS con sanitize-html<\/h2>\n\n\n\n
sanitize-html<\/code> 2.17.5 (9,7 milioni di download settimanali su npm) rimuove selettivamente tag e attributi pericolosi mantenendo la formattazione sicura. La configurazione con whitelist esplicita \u00e8 la strategia corretta: nega tutto per default e permetti solo ci\u00f2 che \u00e8 necessario.<\/p>\n\n\n\nStep 10: Validazione file upload sicura<\/h2>\n\n\n\n
..\/..\/etc\/passwd<\/code>, o file enormi che esauriscono lo storage. La validazione deve operare su tre livelli: estensione dichiarata, tipo MIME dichiarato dal browser e magic bytes reali del file.<\/p>\n\n\n\nStep 11: Validazione asincrona con accesso al database<\/h2>\n\n\n\n
Step 12: Testing della validazione con Jest e Supertest<\/h2>\n\n\n\n