0

在我的项目中,我通过 POSTING 到一个 php 文件来存储 FORM 数据。我在 buttonclick 上通过 ajax 发送数据,我正在做客户端验证,所以无论如何我不能在没有 javascript 的情况下进行数据库插入,那么我需要服务器端验证吗?

4

1 回答 1

1

绝对地。客户端运行的环境完全不在您的控制范围内,您应该认为它是敌对的并且可能受到威胁。

您的问题还包含错误的假设。你说,“当数据通过 ajax 发布时”。但是你怎么知道呢?当您看到一些数据通过 Internet 到达您的服务器时,您完全无法判断该数据来自什么软件。这就是您希望它发布的方式,但除非您控制网络上的每台机器,否则这就是您希望它发生的方式。显然,攻击者(甚至是实验者)不会尊重你的意愿。

于 2013-04-12T09:48:26.413 回答