在我的项目中,我通过POST将其存储到一个php文件来存储FORM数据。我在buttonclick上通过ajax发送数据,我正在进行客户端验证,所以无论如何我不能在没有javascript的情况下进行数据库插入,那么我是否需要服务器端验证?
答案 0 :(得分:1)
绝对。客户端运行的环境完全在您的控制范围之外,您应该认为它具有敌意并且可能会受到损害。
您的问题也包含错误的假设。你说,“当通过ajax发布数据时”。但你怎么知道的?当您看到某些数据通过Internet传送到您的服务器时,您绝对无法分辨数据来自哪些软件。这就是你打算发布它的方式,但除非你控制网络上的每台机器,否则这就是你打算如何发生的。显然,攻击者(甚至是实验者)不会尊重你的意愿。