LIME пишет:а к чему она для email? для email достаточно на клиенте
ну подделает хацкер запрос...ну пришлет невалидный email...и что???? от инъекции убереглись и достаточно
Я подошел к этой ситуации немного с другой стороны, сейчас поясню почему я так решил:
1. Ну для начала jgdshАВБГД^8_^*1iopv.ru - пройдет, если делать проверку только на стороне клиента, в конце концов можно сохранить HTML документ у себя на машине, убрать с инпута ограничение и таким образом отправить эту кашу на сервер.
2. Если злоумышленник это сделает и увидит, что на сервере это дело не проверяется, то с психологической точки зрения это может побудить его к поиску иных "дыр" на сайте и не исключено, что он их найдет и воспользуется случаем. А так он может и даже не задумываться о том, что бы искать дыры так как изначально пришел в проект как пользователь, а не как хакер...
3. Думаю проверка на сервере полезна тем, что при случае, который описан в п1, злоумышленник увидит, что данные проверяются на сервере, не побудится искать иные дыры, которые возможно есть. На сколько я знаю абсолютно защищенных приложений не существует. Так вот и не нужно провоцировать хакеров на взлом приложения )
4. В конце концов это будет выглядеть более пристижно, многие крупные проекты ставят такие ограничения и видимо не зря... Думаю лучше написать одну "лишнюю" строчку, которая ни чем не навредит, а на случай если приложение может быть взломано, уже не говорить себе "Вот дурак, может если бы сделал так, этого не произошло" а сказать, "Я сделал всё что смог"...
П.С: Я ничего не утверждаю в данном случае, лишь выразил свою точку зрения... (Отредактировано автором: 14 Июля, 2013 - 15:37:21)
|