Могу ли я доверять обязательному атрибуту для своих полей в форме?
<input type="text" name="username" required/>
Приведенный выше код гарантирует, что это обязательное поле, но не может ли пользователь просто проверить элемент и удалить атрибут? Нужно ли мне проверять if (isset($_POST... или я могу полагаться на требуемый атрибут, чтобы сделать это?
Всегда используйте проверку на стороне сервера. Требуемый атрибут существует во внешнем интерфейсе, и им можно легко манипулировать, если злоумышленник захочет изменить DOM.
необходимое свойство добавлено в html5, работает с большинством браузеров, проблема, как всегда, в том, что ie не работает, и другие старые браузеры, следовательно, не будут доверять этому атрибуту.
Проверка всегда должна выполняться на стороне сервера. Есть такие вещи, как interception proxy, которые могут обойти даже проверку Javascript. Таким образом, вы даже не можете использовать Javascript для проверки. Вы можете использовать их, чтобы информировать пользователей о том, что эти поля являются обязательными, но полагаться на них — плохая практика.
Проверка на стороне сервера — ваш лучший выбор. В настоящее время Safari на рабочем столе и iOS, а также браузеры Android не поддерживают атрибут «required» любого типа ввода в качестве средства проверки отправки (хотя селектор псевдокласса css поддерживается, как ни странно).
ссылка: http://www.wufoo.com/html5/attributes/09-required.html
