Moin!

In meinem konkreten Beispiel übertrage ich stinknormale Formulardaten, unter anderem auch eine ID-Nummer. Hinter dieser ID-Nummer versteckt sich ein Datenbankeintrag (nehmen wir an es wäre der Datensatz eines Mitarbeiters, also Name, Vorname, Telefonnummer).

Auf der Seite, die die Formulardaten empfängt, muss ich nun eine Datenbankabfrage ausführen, um erneut an diese Daten zu gelangen.
Diese Datenbankabfrage habe ich allerdings schon auf der Formularseite ausgeführt. Ich könnte also diesen Datensatz auch per Formular (sprich, POST) übergeben, anstatt auf der Verarbeitungsseite den Request nochmals auszuführen.

Wenn du die DB-Abfrage nochmal machst, bist du sicher, dass die ermittelten Daten wirklich Original sind.

Wenn du die Daten aus dem Formular vom Client verwendest, dann sind die beliebig manipuliert, also alles andere als Original.

Die Frage ist hier also nicht, was performanter ist, sondern was man sich aufgrund der Sicherheitsanforderungen überhaupt erlauben kann.

Erst wenn beide Wege äquivalent sicher sind, wäre ein Gedanke an Performance zu verschwenden.

- Sven Rautenberg