Muchachos:
Andaba yo haciendo mi ronda matutina cuando he llegado a uno de esos
sitios en el que los formularios solo se pueden utilizar si tenemos
activado javascript.
Cielo santo.
La verdad es que no es cosa rara: el formulario no incluye un control de
"submit" sino un botón tipo
<input type="button" value="enviar" onclick="...">
Al hacer clic en el botón, el script comprueba el formulario se ha
cumplimentado correctamente y lo envía.
<lease con cautela>
¡Qué desarrolladores tan listísimos! Si no podemos enviar el formulario
sin usar javascript, ¡**no** es necesario validar los datos que se
reciben en el servidor!
</lease con cautela>
O dicho de otra manera: qué gilipollas.
a) yo puedo montar un formulario por mi cuenta y pasar los parámetros
que me venga en gana, sin necesidad de utilizar su página;
b) para hacer tal cosa, ni siquiera necesito un navegador --ni un
formulario--: un programa robot lo podría hacer choricientas veces por
minuto;
c) utilizando un shell javascript [1] puedo añadir dinámicamente al
formulario un botón submit y enviar datos sin validar.
Así que aquí van unas buenas prácticas:
1. Valida **siempre** los datos al recibirlos en el servidor, no importa
si ya los has validado con javascript o no. Valida, valida y valida.
2. Si utilizas javascript para validar en el cliente, **incluye**
siempre un botón **real** de submit.
2.1. Haz las comprobaciones en el evento `onsubmit` del formulario,
olvídate de `onclick` y demás.
[Fill in the blanks]
[1]: http://www.squarefree.com/shell/
Salud,
Choan
PS: Practicando para cuando abra mi nuevo blog XD
--
Mundo Du. Cuentos breves, relatos sorprendentes
http://du.lacalabaza.net/
_______________________________________________
javaEScript mailing list
[email protected]
http://lists.scriptia.net/listinfo.cgi/javaescript-scriptia.net
