Tach!

Gibt es einen Überbegriff dafür, Nutzereingaben oder eingebetteten Dritt-Partei-Code dergestalt zu "säubern", daß kein Schadcode ausgeführt werden kann?

Wenn es einen gibt, so wäre das Vorgehen technisch zumindest zweifelhaft. Nicht die Eingabe an sich ist böse. Bei allen Arten von Daten, egal ob sie Eingaben sind oder aus anderen Quellen stammen, kommt es darauf an, dass sie gefahrlos weiterverarbeitet werden, also dem Zielkontext entsprechend angepasst werden. Die Regeln sind für jeden Kontext andere. Wenn du für alle möglichen Ziele die Daten säubern möchtest, bleibt von ihnen nicht mehr viel übrig.

Und wie lautet der? Also Abwehr von SQL Injections, oder so etwas, zum Beispiel?

Zur Abwehr von SQL-Injection verfälscht man üblicherweise nicht die Daten sondern maskiert sie entsprechend der SQL-Syntax oder verwendet Prepared Statements. Daten sollen hier einfach nur Daten bleiben. Bei Caja hingegen versucht man gefahrlos mit dem Teufel zu tanzen. Man möchte Daten als Code interpretieren und sich dabei nicht selbst und anderen das System gefährden, weswegen man da alles böse zu eliminieren versucht.

Ich bin mir nicht sicher ob es "Santinizing" ist. Wenn doch, wie wäre der deutsche Begriff?

Der wird gern verwendet (Sanitization oder Sanitizing wie in sanitär). Das PHP-Handbuch übersetzt es bei den Filterfunktionen mit Säuberung.

dedlfix.