我正在建立一个网站,我对登录/注册页面上的表格有疑问。我在登录页面上有一些标准的javascript验证。我的问题是,如果javascript被禁用,我应该只禁用登录按钮吗?还是应该在服务器端代码上保留PHP验证?
就安全性而言,哪种方法更好?我计划禁用登录/注册按钮,只通过javascript启用它。这样,我就可以避免对已经存在的相同JavaScript进行PHP端验证。这样做安全吗?
感谢
总体而言,使用PHP。Javascript很容易被愚弄和/或完全关闭。在这一点上,你的服务器会得到恶意最终用户先生希望你拥有的任何东西,你不会阻止他们。
使用PHP进行验证,如果你想让它看起来很花哨,就把javascript放在上面。但始终进行服务器端验证。
根据经验,任何与安全或防止特定用户行为有关的事情,都不要依赖javascript或CSS来阻止页面上发生的事情。由于脚本和css可以在浏览器中被覆盖或禁用,因此如果它们这样做,您将无法防止这种行为
服务器端是实施预防性安全预防措施的正确场所。
此外,请注意,同时执行和对用户体验非常好,但服务器端是防止不需要的数据通过的唯一确定的地方。
每个客户端验证都必须在服务器端复制,以确保安全性。您的客户端脚本可以很容易地被恶意用户替换,以便完全绕过验证,并且可以使用web调试工具很容易地重新启用按钮。
但是,为了方便用户,有时还需要包括客户端验证。在这种情况下,您必须同时验证服务器端(PHP)和客户端(Javascript)。
PHP端验证更好。
客户端验证不安全,因为它很容易被黑客入侵。这只是为了方便用户。例如,为了响应客户端验证,用户可以在提交表单之前修复错误。这节省了用户的时间,他们也很欣赏你的网站。
安全性验证必须在服务器上进行
您必须在服务器上验证数据,并使用Javascript解析其答案。仅使用Javascript添加/删除HTML内容并创建更好的用户界面。
始终要考虑到这一点:如果用户在其浏览器中禁用Javascript,会发生什么?