Aloha ;)

Denn sonst bekomme ich leere Einträge in die Datenbank.

…solltest du unbedingt serverseitig verhindern. […] die serverseitige Vermeidung ist hier aus Sicherheitsgründen wohl angebracht.

Inwiefern sollten sich da Sicherheitslücken öffenen?

da offensichtlich bisher keine serverseitige Validierung stattfindet, kann man der Datenbank alles unterjubeln.

Ja, und? Dann steht ein komischer Wert für Status in der DB. Was hat das mit Sicherheit zu tun?

Berechtigte Frage, einfache Antwort:

Aus der Frage des TO geht hervor, dass die Maßnahmen, die clientseitig getroffen werden, verhindern sollen, dass leere Einträge in die Datenbank kommen. Ergo sind leere Einträge in der Datenbank nicht erwünscht und sollen verhindert werden. Wären leere Einträge in der Datenbank egal müssten sie auch clientseitig nicht verhindert werden.

Demnach stehen, wenn serverseitig nicht validiert wird, dann vielleicht doch mal leere Einträge in der Datenbank - während der TO denkt, sowas könne nicht mehr vorkommen, weil es sei ja schon verhindert.

Ja, das ist ein Schuss ins Blaue, der TO könnte auch wissen was er tut und die Werte aus der Datenbank vor ihrer Verwendung prüfen. Wir wissen aber beide, dass genau das oft nicht der Fall ist.

Und zu guter letzt: Gerade bei Software, die „wächst“, reicht es oft (aus Sicherheitsgründen) nicht, zu denken „ach ja, ich prüf ja später vor der Verwendung die Daten, also muss ich sie nach der Eingabe nicht prüfen“, weil der Nachfolger im Job, der gerade nach dem Peter-Prinzip seine Stufe der Unfähigkeit erreicht hat, bestimmt davon ausgeht, dass die Daten in der Datenbank alle geprüft und validiert sind.

Robustheit ist hier das Stichwort, und Robustheit (auch gegenüber mir selbst als Programmierer und meiner eigenen Schusseligkeit und Vergesslichkeit) ist ein Sicherheitsmerkmal. Deshalb spreche ich hier von Sicherheitsgründen.

Grüße,

RIDER