MVC のユーザー入力値項目は、基本的には全てモデルで受けて処理するようにする。 その上で、モデルの各プロパティに対して Required, StringLength, RegularExpression 等の DataAnnotation を使って、入力制限をかける。

また、既定で危険な可能性のある文字は入力されるとアクションメソッドが呼ばれる前に MVC で例外発生するので、必要に応じて ValidateInput(false) 属性を付加して無効化する。