浏览器/客户端验证很方便。你不能依赖它。您绝对需要使用服务器端验证来复制任何客户端级别的验证。

好吧，你的所有代码都是正确的。当黑客用他们喜欢的一个替换你的 javascript 时会发生什么，或者只是简单地提交 POST 和 GET，就好像它是你的代码一样？

在客户端进行验证是一个可用性问题。

在 USAGE 点进行验证是一个安全问题。

最后一点很重要，因为如果您没有在使用点进行验证，就会使您的代码高度耦合。如果您更改一个module，它会破坏其他地方的内容，因为您在错误的地方进行了验证。

例如，在将数据存储到 SQL 数据库之前，您针对 SQL 注入验证数据——如果您选择一个好的库，该库将为您执行此操作。当您将数据显示为 HTML 时，您可以根据 CSS 验证数据。但是，如果您将数据公开为 XML、RSS 或 JSON，那么验证就不同了——如果您仅在输入时对其进行验证，您将无法阻止其他格式的漏洞利用，并且您的输入例程将与输出相关联您选择的格式。

我总是把它看作

• 客户端验证是为了可用性
• 服务器验证是为了安全。

是的，您应该始终进行服务器端验证。Javascript/AJAX 很高兴为用户提供即时反馈，但它并没有在服务器端为您提供任何保护。

你不能相信用户输入。Javascript 验证太容易绕过了。因此，您需要检查服务器端的输入。

总之是的。您永远不能依赖浏览器发送给您的内容是否合法。