当然,我知道服务器端验证是必须的。
我正在使用jQuery来验证表单输入,并使用jquery ajax同时进行服务器端(PHP)验证。所以我想这可能是安全的,因为它在启用 javascript 时对双方进行验证。
好吧,这是我的问题...
但是,如果用户在他的浏览器上禁用了javascript,并且如果一些坏人试图通过编辑我的客户端脚本来做坏事怎么办?
因为我是通过jquery ajax进行服务器端验证的,并且我计划不直接在php script(action="some.php)中验证它们,即使启用了用户的javascript。
那么......它仍然安全吗?
对不起,我的英语不好,希望你不要介意。
不,这不安全。提交表单后,应始终在服务器端验证数据。提交表单之前的客户端验证和 AJAX 验证只是通过提供对无效数据的更快反馈来增强用户体验。客户端验证和 AJAX 预提交验证都不能也不能保护您免受恶意制作的表单提交的影响。攻击者和滥用者通常甚至不使用浏览器将数据提交到您的服务器。
我的规则相当简单...
- 如果您关心您的数据,则必须在服务器上进行验证。
- 如果您关心您的用户体验,那么您必须验证客户端。
由于javascript对于任何访问者都是可读的,并且可以使用最新的浏览器轻松编辑,因此任何具有一点编程技能的人都可以立即绕过您的JavaScript验证。因此,您也应该始终在服务器端进行验证。