Hello,

was Du beschreibst, ist die Parametervalidierung. Die Formularvalidierung solltest Du auf jeden Fall vorher durchführen.

Generell möchte ich deshalb ergänzen, dass der Server wissen sollte, welche Eingabefelder er an den Client verschickt hat. Zusätzliche sollte er beim anschließenden Request nicht verarbeiten, sondern deren Auftreten als Angriff interpretieren.

Bei den verschickten (offer) sollte der Server wissen, welche er beim Request auf jeden Fall zurückerwartet und welche optional sind. Sowohl bei den Pflicht- als auch bei den "Kürfeldern" sollte der Server die gültigen und ungültigen Repräsentationen kennen und kontrollieren. Das ist dann die von Dir vorgenommene Parametervalidierung.

Spannend ist immer die passende Interpretation von nicht zurückgesendeten Radios oder Checkboxes. Muss man dann den Eintrag in der DB löschen, oder nicht? Besser ist sicherlich, man vermeidet derartige Unklarheiten von vorneherein durch passendes Design.

Viel Spaß

Glück Auf
Tom vom Berg