为什么后台都不喜欢做数据验证，认为前端做了就可以了

做后台需要有觉悟,前台的一切都是不可信的

@kulove +1 。涉及到安全的后端一定做验证，不涉及安全的话，后端看麻烦程度决定是否做验证。

我觉得自己写一个模块，输入要尽量兼容各种情况，输出要统一数据格式，就算报错也要报规范的异常，而不是反一个 tomcat 的 500html ，这样才能保证整个系统健壮性。

我是一个业余后端,我认为后端应该做完全部验证.前端做不做那是前端的事.

我是后端，不管什么情况都会做校验，出错直接返回系统错误，让前端校验是为了给用户提示的

@1340641314 你们 api 没做 csrf ？没做身份验证？都没有的话就算做检验也是白搭，都有的话前端做了后端可以不做。

我写后端的时候是都做的。“永远不相信前端”

前端的验证能随意修改通过
后端不验证就等着爆炸吧
要嘛捅上去, 要嘛等出事了一起玩完

你自己悄悄咪咪的去搞一波事情 , 让他们晓得点厉害 , 下次就怂了

我想知道你从什么地方得到后端"都"不喜欢这个结论

后台和后台模块间都会做权限和数据校验，前台的数据不校验？

没吃过教训呗，被爆一次库再看看。

做后台一般权限类和一些关键字段进行一下验证，其他的，出问题再说，那么多验证哪里顾得到

和 https://www.v2ex.com/t/334074 相映成趣啊

你把网站地址给出来，大伙分分钟教你们后台一堂生动形象的课程

不要说都。。。。。。敢不做后端验证都呆不下去三天。。。。

这有啥，最近在做社保网站的爬虫。
有一些外包的社保网站把前后端的东西合一块， ajax 提交的参数里直接拼 sql 的 where 条件字符串的我都见过。

我待过的所有公司都没见过你说这种现象，别说外部或内部系统了，连后端自己调用不对外开放的服务接口都一律强校验，而且所有校验错误都有详细日志。
一是为了安全，后端的服务对象绝不仅仅是前端，更有各种恶意脚本和黑产工具；二是在遇到因为接口变动导致偶发 bug 时能节省大量 debug 时间；三是校验过程本身就是开发过程中理清逻辑细节的有效工具，写了这块代码就应该对各种输入情况下系统的反应了如指掌，否则如何能确定代码逻辑正确？
反倒是前端在这方面考虑略少一些，一是因为他们往往只需要对特定的错误给出提示，二是他们没必要也无法校验一些特殊手段产生的输入。

不管前后端 不做校验的都是责任感不强的