使用了html5 required，后台还需要做不为空的验证吗

Question

因为以前是用js做验证，但是别人禁掉js那么不为空的验证就没效了，所以后台也要加不为空的验证

但现在大部分都使用了html5 required了

那么后台还需要做不为空的验证吗？

ringa_lee · Answer

任何時候後台的驗證都是不能省略的！！
除了樓上@JellyBool所說的情況，更重要的是請求並非一定是從瀏覽器發起的，也可能是由其他人手動構造的（可能出於不良的目的），如果某些重要字段在服務端不做驗證，就有可能成為被利用的漏洞。
所以千萬不要完全依賴客戶端驗證，應該只把客戶端驗證當作一種輔助手段。

大家讲道理 · Answer

永遠不要相信前端的資料。
永遠不要相信前端的資料。
永遠不要相信前端的資料。

PHP中文网 · Answer

個人覺得還是需要的，一個最簡單的場景是：如果使用者用的是低版瀏覽器的話，例如IE8，那你能保證HTML 5這個required特性可以生效？

大家讲道理 · Answer

在大門裝了金屬探測器就可以防歹徒麼

錯

歹徒還可以翻窗進來

迷茫 · Answer

一樓答案很正確，後端是最後的保障

PHP中文网 · Answer

前後端必須都驗證

伊谢尔伦 · Answer

不要相信任何事

ringa_lee · Answer

一樓說得很對，前端和後台都必須要有驗證，因為ie8以下的瀏覽器是不支援html5的。而且前端的數據有時是不可靠的，前端驗證只是一種輔助手段，可以幫助緩解後台壓力，提供更好的使用者體驗而已。任何時候都不要只靠前端來處理資料。

天蓬老师 · Answer

你是用node做後端的話，就基本上沒有增加工作量，驗證的函式庫啊語句啊都是前後端通用的，直接從前端copy到後端，改一點點就行了。

阿神 · Answer

不要相信前端的任何資料