A linguagem não é insegura, a sua implementação é que poderá ser. Se baseias uma sanitização de dados apenas em Javascript, é um erro. O Javascript deverá servir apenas para garantir uma navegação mais suave, indicando por exemplo, de imediato, ao utilizador caso lhe falte algum dado, ou para providenciar funcionalidades que não envolvam riscos. Isto porque, basta desligá-lo no browser, ou bastará que um utilizador aceda com um browser sem suporte a Javascript, para toda a sua programação ser simplesmente ignorada.

Provavelmente estarás a confundir com JSP (Java Server Pages). Não estou a ver como SSJS poderia ser adaptado como uma linguagem adequada para a maioria das aplicações.

E também é utilizado em bancos e esses sistemas falham, só é conhecido poucos casos devido a que os bancos por norma assumem e devolvem o dinheiro que o cliente perdeu numa fraude desse tipo. De qualquer forma o uso do javascript é para comodidade do utilizador e protecção contra certos pormenores e não por ser um sistema seguro, os dados não são só avaliados pelo javascript.

Existe várias linguagens que têem evoluído nos últimos anos, como por exemplo o Java e até o php, normal que linguagens mais recentes evoluam, seria estranho era se não evoluissem, agora cada macaco no seu galho e temos que analisar qual a melhor linguagem de programação para cada trabalho.

Validas por javascript se quiseres mais comodidade, porque requer sempre validação server-side, e neste caso o php ou asp é o melhor. Javascript até pode ser utilizado para enviar a password já "encriptada" no POST, e deste modo com maior segurança no envio.

Java Server Pages é outra coisa... há mesmo server side javascript, não é comum mas há... se vires no google deve haver documentação e alguns "how to's..."


Javascript hoje em dia está num nível muito alto mesmo, ha livrarias para mil e uma coisas, há muita gente a desenvolver, como é óbvio e como qualquer outra linguagem há trabalhos que são mais complicados e há coisas que não são tão recomendadas...

continua a ser confusa e com uma curva de aprendizagem muito grande, mas é um bom caminha para investir... pode-se ganhar muito dinheiro se forem prós em javascript

nrag...
ou validas no browser (com javascript por exemplo) ou no servidor (com php por exemplo)

Esse ou que tens ai num programa é um erro de programação (se utilizador='user' ou password='pass')


JavaScript têm as suas funções e têm as suas potencialidades, disso não duvido nem critico, apenas digo que JavaScript unicamente para validação de dados é inseguro, é melhor não usar nada e o mysql validar os dados.
Ajax tambem de nada serve quando a intenção do utilizador é ludibriar o sistema se fôr usado em exclusivo para validar.

Já agora o facto do teu professor ter desembolvido o MBNET não faz com que os alunos ganhem as mesmas competências que ele, e o facto de usar javascript não quer dizer que use a validação somente por javascript.

Dou um exemplo: o miau quando adicionas um leilão não tens forma de o alterar de categoria, pelo menos para os utilizadores comuns, a menos que vejas os campos escondidos que estão no código fonte e alteres o ID da categoria manualmente, mudando assim de categoria quando submeteres o artigo.
Isto é um exemplo de uma má validação, não é critico, mas se é para o utilizador não alterar a categoria ela não têm nada que estar hidden no codigo.

Javascript é bom tipo para saber se o user é humano ou bot,injectar tokens enviados por AJAX, timeouts. Tem muitos usos no campo da segurança

Nrag, não ha sistemas perfeitos nem sistemas imunes a falhas é possível fazer um include de um XXXXX.js caso o javascript esteja enable no browser ou um include de um XXXX.php caso esteja disable... nunca vi o teu segundo caso, mas o primeiro e o ultimo eram facilmente fechado através de sessões, não vai ser por alterar o URL que alteras as variáveis , podes bloquear paginas ou execuções de scripts e reecaminhar para outras caso a pessoa X não esteja autorizada a aceder ou a executar uma determinada tarefa...

Não tinha visto isto, antes de mais é NarG sem ofensas
Como consegues ter a certeza se o browser suporta javascript ou não ? o browser pode-te dizer que sim e o javascript estar desactivado.
Em qualquer das situações o php não têm controle, faz uma pagina de teste que provo-te, claro está que apenas vais fazer validações por javascript em qq situação.
Aconcelho-te uma extenção para o firefox: https://addons.mozilla.org/en-US/firefox/addon/60
É simples para os utilizadores comuns.
E já agora tb, não é o facto de andares na universidade que te vai fazer saber mais que outros, sai da universidade muito burro. Não ofendendo.

narg, alguma vez usei o facto de estar em LEI para ter razão em alguma coisa? vê-se te tocas e sim ofendeste-me...

A vantagem do uso dos foruns é aprender sempre mais, mas tu não queres aprender, queres que te diga que tens razão e que fazer um sistema de logins sem validação de dados é uma boa prática... não é, não insistas

Não é uma questão de EGO são factos, não se valida na base de dados... isso nem é validar, é espetar lá a ver se encaixa...


Bons negócios

Não é uma questão de EGO são factos, não se valida na base de dados... isso nem é validar, é espetar lá a ver se encaixa...

Agora estás a meter uma calinada... Os "trigger's" existem nas bases de dados para alguma coisa...

Cumps

narg, alguma vez usei o facto de estar em LEI para ter razão em alguma coisa? vê-se te tocas e sim ofendeste-me...

LEI ? quê isso ? a minha intenção nunca foi ofender ninguém.
NUNCA disse que a validação de dados não é necessária, apenas disse uma altura que com um campo unique no username já é uma validação, mas se alguma vez disse que a validação era feita na base de dados faz um quote ao que disse.
Esta validação em nada implica em segurança, se o username existir e o campo fôr unique, unicamente não insere, não devolve mysql inserted id.

A discussão já está a ir longe demais.

Queres continuar a validar com javascript valida lá, queres usar campos text hidden usa, faz como quiseres.

eu estou habituado a programar (a universidade e o hobby da internet a isso obriga) então linguagens para web nem se fala... não tem haver com à vontade (falo-te com o à vontade de quem teve 18 a Programação Web com um sistema social feito do zero)

Pronto, já que isto descambou, obrigado.

Já percebi que uns pensam que é simples, rápido e não sai caro. Outros pensam que tem de ser muito trabalhado, demorado e caro.

Quando for fazer peço orçamentos.

A validação por javascript é comoda, a validação por php/asp é a mais segura, a validação por sql é mau comparando com php, mas é fiável na mesma.
LEI = Licenciatura em Engenharia Informática, aqui dá-se a programação um pouco mais abstracta do que na "vida real", e ensina-se a pensar de forma mais abstracta, algo que raramente fazem.

Acho que não vale a pena continuar mais a discussão, pelo menos aqui. Existe várias formas de o fazer, e o melhor será um pedido de orçamento com todos os dados e não só a dizer que é um sistema de login.

Acho que não vale a pena continuar mais a discussão, pelo menos aqui. Existe várias formas de o fazer, e o melhor será um pedido de orçamento com todos os dados e não só a dizer que é um sistema de login.

O que é um sistema de login para ti?

O que é um sistema de login para ti?

Como já foi dito, existem varias maneiras. Podes escolher um sistema de login simples, mas não é tão seguro.

Uma coisa direita, pelo que sei, deve de ter/fazer as seguintes coisas:
- Verificar se já existe o username na Base de Dados,
- Verificar se já existe o mesmo email na Base de Dados,
- Sistema Anti-Bots,
- Painel de Administração que permita: Editar, Apagar, Criar Users e alterar as permissões dos mesmos,

Mas tudo depende daquilo que queres... Infelizmente estas coisas são muito caras (apenas uma opinião pessoal), mas é o que se arranja

Sim, mas o login é sempre a mesma coisa. O programador pergunta 'Qual é que quer, aquele que não tem segurança, ou com top securuty?

Agora estás a meter uma calinada... Os "trigger's" existem nas bases de dados para alguma coisa...

Cumps

LOL conheces alguém que use triggers para validar dados de um formulário via web? quando tens PHP, javascript, ASP, etc...

um exemplo, sabes o que acontece quando dispara um tigger sob uma instrução de UPDATE numa Tabela? não pode alterar a tabela porque senão entra em ciclo infinito e deita-te a baixo a BD por falta de memória...



é óbvio que quem paga por algum código deve, no mínimo, receber o que pediu de forma decente... não é etico usar a desculpa "aí era com segurança? é mais X euros", "aí era com validação total? é mais X euros", "aí era com sistema de recuperação de password? é mais X euros".... o cliente não tem de perceber de sistemas de logins para encomendar um... faz parte do trabalho do programador, pegar na encomenda e levantar requisitos e através de um pedido abstracto...

não vale a pena continuar esta discussão... quando a coisa é complexa simplificam ao ponto de não funcionar, quando a coisa é simples complicam ao ponto de baralhar... isso é desinformar!!! assim o topico deixa de ser útil