Forum PHP.pl

witam

mam pytanie odnośnie wprowadzanai danych na stronie przez uzytkownikow. Przykladowo mam formularz, ktory jest validowany przez javascript. nie pusci nikogo dalej jezeni nie bedzie wpisanych np tylko samych liter w polach bez zadnych znakow dodatkowych. i teraz gdy ktos przechodzi pomyslnie validacje i przechodzi dalej formularz chcialbym dane zapisac do bazy. i czy jest sens, aby pomimo tego, ze sprawdzalem wczesniej poprawnosc danych dodawac jeszcze funkcje w php przykladowo o dodawanie backslashy i blokowanie znakow html ? czy juz to bedzie zbedne, poniewaz ochrona przez javascript jest odpowiednia ?

walidacja JS to tylko i wyłącznie "bajer". Walidacja po stronie serwera ma być zawsze.

naprawdę validator JS nic nie daje ? można go sobie obejsc bez problemu ? jakim cudem ?

js działa po stronie przeglądarki. Wszystko co działa po stronie przeglądarki mozna wyłączyć.

przyklad:
mogę wyłączyc obsluge js i Twoj walidator szlag trafi.

Są też inne metody obejscia wiec posluchaj "starszych" i nie leń się w walidacji po stronie serwera (IMG:style_emoticons/default/smile.gif)

walidacja js daje tylko to, ze nie lecą niepotrzebne żądania na serwer. Niepotrzbne dla porzadnych userow rzecz jasna. A tu chodzo o to, ze jak masz tylko walidację js, to ktos, kto bedzie chciał ci narozrabiac zrobi to bez problemu.

co prawda planuje zrobić sprawdzanie czy ktos ma wlaczona obsluge js, jezeli nie to jest komunikat i storna stoi do momentu włączenia obsługi.

w takim wypadku czy samo dodanie backslashy oraz funkcja do ochodzenia znaków html przed zapisem danych + wspanialy validator JS wystarczy aby uchronic się przed niepowołanym wykorzystaniem ?

1) Jak chcesz to zrobic?
2) Jak juz mowilem wyłączenie js to tylko jedna z wielu metod na ominiecie Twojej walidacji js

Walidacja po stronie serwera ma byc taka sama jak po stronie js. No chyba ze zwisa ci i powiewa ze zamiast adresów email uzytkowników bedziesz mial teksty, "bleble", "urwa mac" itp - to tylko przyklad jeden z wielu.

w takim wypadku zrobie dodatkowe sprawdzanie po stronie serwera, bo chyba nie ma innej mozliwosci.

a sprawdzac chcialem za pomoca znacznikow <noscript> i np. jezeli nie ma oblsugi javy to sie wywala div na caly ekrat z komunikatem i nic nie mozna zrobic, nigdzie kliknac dopoki sie nie wlaczy JS.

W moim przypadku jest o tyle dobrze, ze caly formularz jest zrobiony na Ajaxie i jezeli sie wylaczy JS to nigdzie sie dalej nie przejdzie z formularzem. Zostana tylko bezuzyteczne pola, w ktorych mozna wpisac co sie chce. po ponownym wlaczeniu javy i przeslaniu formularza najpierw jest validacja, wiec nie pusci pomimo wylaczenia i wlaczenia JS.

a jakie sa inne rozpowszechnione metody ? nie znam ich, a taka wiedza przyda sie w przeciwdzialaniu (IMG:style_emoticons/default/smile.gif)

zadne zabezpieczenie.

Widzisz... sęk w tym, ze po stronie mozna chodzic nie tylko przy pomocy przeglądarki. Zeby lepiej ci to zobrazować: takie np. spamboty nie używają przeglądarki a mimo w jakiś sposób piszą po stronach, rejestrują się na forach itp.

tak czy inaczej dzieki za rozswietlenie calej sprawy (IMG:style_emoticons/default/smile.gif) co prawda teraz mam dwa razy wiecej pracy, ale bede przynajmniej spal spokojnie (IMG:style_emoticons/default/smile.gif)