Vulnerabilità sui form con javascript

[FreuxBang]

Salve, percaso come posso vedere se un form gestito con javascript è vulnerabile o no ? Io sto facendo diversi lavori utilizzando javascript, lavori anche molto importanti, non vorrei che stia andando in una direzione sbagliata. Un articolo che mi ha fatto un po riflettere è stato questo http://www.ilsoftware.it/articoli.asp?id=4137
Avete percaso consigli a riguardo? se esiste qualche plugin per safari, firefox, chrome o explorer che mi permette di vericare se il codice da me inserito è vulnerabile o no?
Altrimenti dei semplicissimi consigli nella costruzione o configurazione del codice. Grazie

[mau_develop]

non ha molto senso la domanda... se non filtri ciò che introduci certo che è vulnerabile... ma come uno gestito in php.. e qualsiasi altro linguaggio...
se io posso introdurre dei dati evitando la validazione disabilitando js nel browser è un'altro comportamento da controllare... che ne fai di quei dati?

cosa fa la validazione?

M.

[FreuxBang]

Innanzitutto grazie per la risposta.

Praticamente io utilizzo per ogni prodotto di virtuemart un form (calcolatore) in javascript che mi permette di variare il prezzo e il peso del prodotto.

Grazie a javascript calcolo e rendo visibile in tempo reale il costo del prodotto.

Una volta che clicco su aggiungi prodotto al carrello, invio i dati al carrello e poi si procede normalmente all'acquisto del prodotto, con il prezzo e il peso(personalizzato).

Ho cercato di essere semplice nella spiegazione.

[mau_develop]

con js puoi farci ciò che più ti pare e piace e così anche il tuo "attaccante" il problema è quando questi valori "arrivano" da qualche parte, per essere usati, salvati, stampati, etc.... insomma... quando con la tua variabile ci fai "qualcosa".

è in quel punto che io posso agire con codice arbitrario su quel "qualcosa", in addizione a modificarne la costruzione dello sviluppatore.
Perchè posso farlo? .... perchè tu ti aspettavi un numero e io invece ho scritto in quel campo una poesia.

nel tuo specifico ti aspetti dei valori quindi quando li userai puoi ad esempio forzarli con un (int)$tua_var o verificare se è vero che è un numero, atrimenti....
if(is_numeric($tua_var){} else
... poi... numeric sì... ma se questo mi scrive un numero di miliardi di cifre?
...allora posso contare la lunghezza, o posso fare tutto con regex o con le funzioni filter() di php.

Insomma.... considera js come gadget per i tuoi lavori, così come la sua validazione di campi che può essere utile come guida alla compilazione di qualcosa, il lavoro "sporco" lo deve fare sempre php.

Diverso se Ajax. Non nel principio che è sempre lo stesso ma la validazione viene fatta con una richiesta http e con php

M.

[FreuxBang]

Nuovamente grazie.

Nei campi imput ho specificato nelle classi, class="cf_inputbox required validate-number", garantendomi che l'utente deve inserire per forza un numero all'interno del campo altrimenti mi spunta il campo input rosso segnalando l'errore, inoltre grazie ad una funziona applicata ad alcuni campi specifici, l'utente non può permettersi di superare una certa cifra, altrimenti ho fatto in modo che esce fuori un alert. Tutto questo con javascript

Quindi dev, anche se ho aggiunto queste funzioni di sicurezza che riguardano la compilazione dei campi, mi consigli di filtrare anche al momento della validazione con 'php'?

[mau_develop]

assolutamente si

M.