为什么后台都不喜欢做数据验证，认为前端做了就可以了

@1340641314 那岂不是任何人都可以任意修改数据库的数据了？

挺狠啊

@1340641314 能否透露一下贵司网站地址？

那要看会不会影响后台运行，不会的话，后台直接报错吧，反正也不是正常用户。

我觉得是因为前端可以实际看到输入的界面

@nanlong 这个系统还没有上线，要年后呢。不然出问题了，大过年的谁背锅

我的理解中后端验证有几个要点：

1 ）验证接收到的参数是否合法；

2 ）根据接收到的参数值，验证该用户是否具有操作目标资源的权限；

欢迎各位指教提出更加科学、规范的流程，趁此机会多学习一下

@1340641314 牛逼，我以为只有内部系统这么干...，上线了记得把 URL 公布出来大伙看看

@odirus 还有请求时间和资源允许访问的时间。

@Victor215 这个算了，老板得炒我鱿鱼了

我只知道当初入行写服务端
一直有句话经常看到
服务端应该对所有客户端的数据是不信任的

系统业务逻辑太多的时候，有时候不太有影响的业务就不在后台校验了，比如电话号码啥的。。。

@1340641314 早晚被人爆，再说上线了 你推广一下 这多正常， 还请请“上线了记得把 URL 公布出来大伙看看”

@Victor215 哦，这个我没接触过，能否举个栗子，加深一下映象，谢谢

@nanlong 到时候再说吧

@odirus 比如系统报名，过了时间就应该不能报名才对。

后端怎么会不做数据校验呢？反正业务操作结果我都判断，一般来说上 orm 框架来避免了 sql 注入，数据类型直接强制转换（这个就是导致 500 的原因，但是正常情况 500 不会出现的，出现也没什么问题），如果你是要后端接收每个数据都校验存不存在，类型对不对（为了安全是不是用正则匹配一下？），这事情还得看公司吧，需求每天都变，能赶出来，能保证数据不被黑就好了，友好提示很多时候无能为力呀。后端校验仅仅在保证业务数据安全下用上，你要想后端看不到的地方的校验才是最重要的，看不到不代表后端懒，只是你不知道后端为了安全写了多少逻辑。

@Victor215 哦哦，明白了，谢谢哈。

这些事常识问题，当然也不能忽略

是不是应该说明一下「后台」和「前端」的定义。

我遇到的是，前端不做检验，全部依赖后端去检验

你跟他们说没用的，他们又不归你管，在面子上也不能听你的呀，要说就要跟领导说。