@rafalnowak1990:
Nieważne, o czym był temat. Takie coś to po prostu rażący błąd, bardzo niebezpieczny.
Naprawdę, my tu się staramy być odpowiedzialni... czasami.
Ktoś może tu wejść i przeczytać takie herezje. Jeśli Ty wiesz, że brak walidacji po stronie serwera jest be, to OK, ale trzeba to było tutaj bardzo wyraźnie powiedzieć. Pamiętaj, że to nie jest prywatna dyskusja pomiędzy mną, Tobą i dwoma innymi programistami, z czego wszyscy wiedzą o co chodzi.
A firmie należy się zjechanie obojętnie czym by się nie zajmowała. Jeśli to jest wystawione do netu, to trudno o zrobienie czegoś mniej odpowiedzialnego. Zdecydowanie powinieneś z nimi o to powalczyć. Przynajmniej spróbować. To nie są żarty, brak walidacji po stronie serwera to bardzo poważna sprawa. Mogą wyciec wszystkie ich dane. Ktoś może im te dane skasować albo zmodyfikować wedle uznania.
Nie ma usprawiedliwienia, że "chodzi o oprogramowanie dla firm, więc poziom umiejętności leci w dół" -- WTF? Co to w ogóle za gadanie? A jakby to było oprogramowanie dla pawianów, to poziom mógłby polecieć jeszcze niżej?
I to nie jest tak, że Tobie "nic do tego". Pracujesz w tej firmie. Pal sześć, jeśli jesteś odpowiedzialny wyłącznie za sam frontend i nic innego. Wtedy wystarczyłoby wyraźne zgłoszenie problemu odpowiednim osobom. Ale jeśli odpowiadasz za całą aplikację, to prawdopodobnie powinieneś o to walczyć do upadłego. Szczególnie, że przejmujesz się tą sprawą z WebInspectorami i Firebugami, więc dopuszczasz możliwość, że ktoś będzie chciał zmanipulować danymi (czyli: to nie jest intranet dla dwóch osób... zresztą i takie intranety potrafią się rozrastać w tempie wykładniczym, a kod bez walidacji potem zostaje).
No nie wiem... Twoja sprawa, ja powiedziałem co wiedziałem. Jeśli 1990 w nicku to rok urodzenia, to pewnie nie musisz jeszcze się aż tak bardzo przejmować tym, że Twoja firma jest nieodpowiedzialna. Bylebyś tylko cały czas miał zakodowane, co jest dobre, a co złe. Ale ja np. bym na Twoim miejscu stamtąd uciekał, jeśli nie byłbym w stanie przemówić im do rozsądku.
Zakładam oczywiście, że w backendzie są po prostu potężne luki w walidacji, tj. że może nawet w ogóle jej nie ma. Nie chodzi mi o to, że serwer absolutnie musi wyświetlać piękne komunikaty o błędach (choć powinien to robić). Wystarczy, że serwer sprawdzi dokładnie, czy dane wejściowe są OK i w razie czego pacnie wyjątek, który gdzieś tam zostanie złapany i będzie skutkował wyświetleniem zupełnie nieużytecznego komunikatu o błędzie: "Błędny błąd (tm). Coś poszło nie tak.". Bo olanie użyteczności przy wyłączonym JS-ie to nie tragedia. Ale brak sprawdzenia poprawności danych i wpuszczanie byle śmieci do bazy to już tragedia pełną gębą.
A to, że bez JS-u to nie działa, to nie musi być problem. Niektórych aplikacji bez JS-u się praktycznie nie da zrobić. Albo można sobie wykalkulować, że przygotowanie wersji bez JS (np. GMail taką ma) przyniosłoby straty finansowe, bo można olać te 10% użytkowników bez JS. To jestem w stanie bez problemu zrozumieć, choć sam takiego czegoś unikam.
Ale wiesz... Jeśli te 10% użytkowników mogłoby robić z Waszą bazą danych co im się podoba, to inna sprawa ;).