ajax - 通过 ajax 发布数据时是否需要服务器端验证？

Question

在我的项目中，我通过 POSTING 到一个 php 文件来存储 FORM 数据。我在 buttonclick 上通过 ajax 发送数据，我正在做客户端验证，所以无论如何我不能在没有 javascript 的情况下进行数据库插入，那么我需要服务器端验证吗？

Answer 1

绝对地。客户端运行的环境完全不在您的控制范围内，您应该认为它是敌对的并且可能受到威胁。

您的问题还包含错误的假设。你说，“当数据通过 ajax 发布时”。但是你怎么知道呢？当您看到一些数据通过 Internet 到达您的服务器时，您完全无法判断该数据来自什么软件。这就是您希望它发布的方式，但除非您控制网络上的每台机器，否则这就是您希望它发生的方式。显然，攻击者（甚至是实验者）不会尊重你的意愿。