Il sistema di elaborazione adotta un paradigma Secure By Design e Zero-Trust, mitigando in radice i principali vettori d'attacco classificati dall'OWASP Top 10:

• code_off
  Prevenzione RCE (Remote Code Execution): L'infrastruttura non effettua alcun salvataggio persistente dei payload caricati. I file in ingresso transitano esclusivamente attraverso l'allocazione temporanea del sistema operativo (OS Temp Dir) e vengono distrutti contestualmente al termine del ciclo di esecuzione del worker PHP tramite Garbage Collection, impedendo fisicamente l'archiviazione di shell malevole o eseguibili.
• rule
  Mitigazione XXE (XML External Entity) & Macro Injection: Il parsing del formato OpenXML (.xlsx) è operato tramite istanze vincolate in modalità strict ReadDataOnly. L'astrazione vieta a basso livello l'interpretazione di macro VBA, l'esecuzione di formule calcolate o la risoluzione di entità XML referenziali esterne, estraendo esclusivamente i letterali crudi (raw data).
• compress
  Protezione DoS & Zip Bombing: I buffer di memoria sono protetti tramite un rigoroso enforcing dimensionale a monte (Hard Limit a 10MB) in pre-allocazione, annullando attacchi asimmetrici di decompressione intensiva prima dell'impegno delle risorse computazionali del server.
• cleaning_services
  Sanificazione XSS (Cross-Site Scripting): Tutte le mutazioni dal formato sorgente (Excel) al formato destinazione finale (DOCX/PDF) subiscono iniezioni parametrizzate con encoding HTML assoluto (htmlspecialchars con flag ENT_COMPAT e codifica UTF-8), neutralizzando qualsiasi payload JavaScript possibilmente persistente.
• security
  Data Isolation & Anti-CSRF: L'architettura omette l'impiego del layer di persistenza (Database RDBMS) per lo storage dei dati transitori. Le anagrafiche fluiscono unicamente attraverso la $_SESSION crittografata con ID univoco deterministico. Tutte le transazioni di stato sono blindate da token CSRF (Cross-Site Request Forgery) strict verification, scartando matematicamente richieste non autenticate o contraffatte.