(Affen)Formular und JS-Validierung

  • Bisher habe ich die sog. Affenformulare genutzt. Dort wurden zur Fehlerauswertung alle Felder mit den übergebenen Values "vorbelegt".
    Wenn ich nun eine reine JS-Validierung einbaue spare ich mir die Vorbelegung - oder?

  • Wenn ich nun eine reine JS-Validierung einbaue


    Da kann ich dir nur von abraten! Man sollte immer mit PHP validieren, für den Fall, dass der User JavaScript deaktiviert hat.

  • Ohne JS kommt der User erst gar nicht soweit, bedingt durch ein autocomplete welches die Daten an ein zweites Formular weitergibt. Oder ich sags mal anders: ohne js geht nix - wobei hier "meine" Zielgruppe kein Problem damit hat.
    Aktiviertes JS vorrausgesetzt - wäre dem dann so?

  • Ich halte mich hier auch an synaptics Variante, die Logik für die Validierung steht in einer PHP-Klasse, die Daten werden zu Validierung aber mit jQuery per AJAX an den Server übermittelt. Dabei hat man das beste beider Welten, auf der einen Seite das asynchrone, benutzerfreundliche Verhalten von JS, auf der anderen die Verlässlichkeit einer serverseitigen Verarbeitung wie PHP. Für die endgültige Validierung vor der Weiterverarbeitung braucht man dann keinen separaten Code.

  • Wenn ihr beiden die Parameter ungeprüft übernehmt, wiegt ihr euch in falscher Sicherheit, bis zu dem Tage, an denen ein Hacker mal seinen Gehirnschmalz austesten will.
    Ich denke dann dauert es keine 10 Minuten und er ist drin.

    Der Hintergrund liegt in der Art und Weise wie Server Daten entgegennehmen. Entweder per POST oder per GET.
    Javascript bringt nur dann eine gewisse Sicherheit, solange der Client auch Javascript verwendet.
    Auch Javascript in Verbindung mirt AJAX ist für einen Hacker kein Problem, er schaut sich erst mit einem Browser an wie das geht, zeichnet die Requests auf und beim nächsten mal wird direkt angegriffen. Das heisst ein POST oder GET direkt auf den Server und schwupps fertig ist der Hack.

  • Wat?

    Ich glaube du hast da etwas falsch verstanden. Die Ajax-Validierung dient allein der bessen Bedienbarkeit. Der User kriegt damit direktes Feedback, ob seine Angaben korrekt sind. Die daten werden selbstverständlich auch bei der endgültigen Verarbeitung serverseitig überprüft.

    Mit "Für die endgültige Validierung vor der Weiterverarbeitung braucht man dann keinen separaten Code" meine ich, dass man die selben Funktionen für die Live-Validierung verwenden kann wie für die endgültige Validierung vor dem Abspeichern, da ja beides serverseitig passiert.

  • ich konnte dem auch nicht so recht folgen..
    serverseitige validierung is die sichere validierung und die per ajax geschickt gibt dem user direktes feedback, wenn das einer hacken kann, kann er alles andere auch hacken
    affen-formulart is affen-formular, egal obs mit ajax gepimped wird oder eben ohne js läuft..