ユーザーは選択ボックスの入力変数を変更できますか？

Question

私はユーザー入力を保護したいと思います。テキスト入力の場合は、単にfilter_inputとmysql_real_escape_stringを使用できます。

私の質問は次のとおりです。変数が選択ボックスから来たときにそれらを使用する必要がありますか？何人かの巧みなユーザーがブラウザからPOST値を変更することは可能ですか？

私の選択ボックスは、データベースから動的に取り込まれます。受信したデータ（送信後）をデータベースと比較し、安全のためにmysql_real_escape_stringを使用する必要がありますか？

Answer 1

必ず、すべてのデータをクライアントから取得する必要があります。

Answer 2

はい誰かがフォーム要素の入力を変更できます。 FirefoxのFireBugと同じような簡単なことが、私のクライアントのWebページのコピー上のソースコードを変更し、変更されたデータを含むフォームを送信することを可能にします。

Answer 3

は、ユーザーからのものです。ユーザーがあなたに送るすべてが悪であると仮定します。すべてをエスケープするか、準備されたステートメント/パラメータ化されたクエリをうまく使う必要があります。

Answer 4

保護されたサイトが必要な場合は、各入力を検証する必要があります。 保証のために、選択ボックスのフィールドがデータベースの値と一致するかどうかを確認する必要があります。