在项目中,我们通常都是通过js校验用户数据的正确性,往忽略了服务端的校验,这是很危险的事,比如,我在项目中犯了个错。
修改帐户密码时,我是通过ajax来判断用户输入的旧密码对不对,如果对,就可以作下一步操作,不对,就提示密码错误,这里对时,我是直接在客户端通过href来跳转的,其实用户可以绕过这里的js校验,直接输入href地址,跳到下一步页面,输入新密码,然后就可以修改成功了,我忽略了在后台也要作密码的正确性验证,才能让其修改。
其实在前端作旧密码校验是为了用户体验,提示他正确或错误,好让他作修改,这里只是第一层关口,只是一个幌子,如果高手识别了这个幌子,我们就要拿出杀手锏,终极验证,在服务器直接对数据的正确性作判断,合法就让他过,否则不通过。
因此,在项目中,我们时刻要记住,在客户端和服务器端都要作数据的校验,保证程序的健壮性,保证数据的安全