私はWebアプリプロジェクト(Javaで、それは重要ではありません)に取り組んでおり、ドロップダウンリストと入力フィールドを備えたフォームがあります。
値のセットから特定の値を期待するため、明らかにドロップダウンリストが提供されています。
だから私の質問はこれです:提出された値が期待値のセットにあることを確認することは意味がありますか?それとも、正しい値が出てきていると仮定することは許容されますか?
送信されたさまざまな値から発生する「エラー」はありませんが、データストアはビジネスルール/要件と一致していません。
送信された値が期待値のセットに含まれていることを確実に検証する必要があります。ドロップダウンに必要なものを送信するためにfirebugを使用するのは簡単です。
ベストプラクティス:すべてのユーザーがあなたのためにそれを持っている汚いハッカーであり、あなたのサイトをダウンさせるために彼らの力ですべてをするだろうと仮定します。
したがって、すべてのデータをサーバー側で検証することが不可欠です。
ハッカーはあなたのフォームを使用しません。彼らはランダムなフォームデータを作成し、他の方法で送信します。実際、ハッカーはあなたのサイトが何をしているのかさえ知りません。彼らのスキャナーはあなたのサイトをさまよって、ランダムなものを送信しています。
私は広範なクライアント側の検証(c#バリデーター)を使用し、フォームのすべてのフィールドを検証します。そうすれば、ユーザーが私のフォームを使用するとき、最終的にサーバーにアクセスしたときに、データは良好なはずです。
しかし、それでも悪いデータが得られます!ハッカーが独自のツールを使用してサイトを調査しているのです。
私たちが良いターゲットであるとは限りません。ネットに公開されている財務記録がないので、どうしますか?あなたが無料で私たちのサイトを使用するようになった場合。問題は、ハッカーがそれを知らず、とにかく調査していることです。