Comments on: Web разработка. Когда использовать JavaScript библиотеки для проверки форм

By: Владимир

Владимир — Sun, 06 Sep 2009 10:01:04 +0000

Здесь речь не о защите сайта от атак. Реализовать ее можно только на стороне сервера, т.к. кто-угодно может отправить запрос с любыми данными используя тот же cURL.

Проверка на стороне клиента нужна исключительно для удобства посетителей. Чтобы они видели ошибки сразу, а не после отправки запроса и перезагрузки страницы. Если эти пользователи начинают менять страницу – это их проблемы. Все равно серверный (php) сам выполнит все проверки.

By: Mr. X

Mr. X — Sat, 05 Sep 2009 11:21:33 +0000

Тут видимо опасность в другом, сразу извинюсь, если чего-то не понял, опираясь на Ajax мы опираемся на работу javascript на стороне клиента. Верно? Например,в общем случае вы сделали проверку кода на стороне клиента, браузер читает html-код, доходит до скрипта и начинает интерпретацию. Но тут можно на стороне клиента много чего изменить, можно изменить саму интерпретацию, возьмите простой движок webkit.org и самый простой браузер на его основе http://code.google.com/p/arora/. Есть вероятность подмены javascript кода на этапе передачи в webkit(заголовочные файлы webpage.h и другие), потом скомпилировать это… я пробую это сделать, пока правда ничего не работает, но я на 100% уверен, что дело времени. по – моему я даже видел похожие эксплойты где-то…

By: Владимир

Владимир — Wed, 25 Feb 2009 17:15:45 +0000

По поводу графики. Есть разные ситуации. Например, если вы создаете captcha, то картинка должна быть создана сервером. Или другой пример. Я пользуюсь online блокнотом (evernote), в нем после сохранения записи создается её графическая превьюшка. Кстати, очень помогает ориентироваться по записям, особенно, если в них вставлены картинки.

By: Владимир

Владимир — Wed, 25 Feb 2009 17:11:04 +0000

Распределять правильно ресурсы, конечно, нужно, но убирать проверки нельзя.
Ситуация такая. Проверка на стороне сервера обязательна в любом случае, т.к. от клиента может прийти что угодно. Используя, например, curl можно отправить любой запрос любому серверу и с любыми данными. Поэтому проверки на стороне клиента с точки зрения безопасности ничего не дают. Но, с другой стороны, они увеличивают удобство работы со страницей. Т.к. посетителю не нужно ждать ответ сервера с сообщением о том, что он забыл какое-то поле в форме заполнить.

By: Владимир

Владимир — Wed, 25 Feb 2009 17:05:39 +0000

Проверить включен JavaScript или нет не сложно. Но тема статьи "Когда использовать JavaScript библиотеки…", т.е. предполагается, что он включен

By: infoman

infoman — Wed, 25 Feb 2009 10:01:15 +0000

Жаль, что Вы не указали основную мотивацию к проверке и формированию подобного рода запроса к Базе (читай серверу) на стороне клиента. Ведь совершенно ясно, что уменьшение нагрузки на сервер тысячами мелочных запросов однозначно благоприятствует работе размещенного на нем ресурса. Поэтому, наверное, все, что может быть отдано для обработки клиенту должно быть ему передано. Что-то типа "распределенных вычислений" – пусть сам пользователь на своей машине выполняет максимальную часть "вычислительной работы"…
Многие программисты так увлекаются "кодированием в РНР", что и графику в нем обрабатывают. Этот пост и Ваш же пример работы с Flash http://www.simplecoding.org/open-flash-chart-stroim-grafiki.html – говорит о необходимости правильного распределения ресурсов при решении разных задач в рамках проекта

By: infoman

infoman — Wed, 25 Feb 2009 09:23:33 +0000

А что гадать на кофейной гуще: "че будет, …че не будет??" Наверное не очень сложно проанализировать включен JS или нет и выдать клиенту в ту же форму сообщение: "Ваш броузер не поддерживает JavaScript! …" и уйти программно с проверкой на сервер – защита от дурака или подобной ситуации актуальна. Это мое дилетантское мнение

By: m

Wed, 07 May 2008 09:13:53 +0000

By: Интересно почитать (04.04.2008) by Блог Димка

Интересно почитать (04.04.2008) by Блог Димка — Fri, 04 Apr 2008 14:38:59 +0000

[...] Когда использовать JavaScript библиотеки для проверки форм. Я, конечно, за то, чтобы проверку делать и на клиенте, и на сервере. Работа с данными пользователя, наверное, одна из самых нудных и трудоемких частей разработки любого приложения. [...]

By: Владимир

Владимир — Fri, 04 Apr 2008 12:21:47 +0000

В принципе, согласен, наверное лучше использовать submit.
Но в данном случае запрос не может быть отправлен в обход проверки, т.к. открывающий тег формы имеет вид: