$_COOKIE

[NeMewSys]

(23-02-2010 10:02)Bruno Bernardino Escreveu:  NeMewSys,

O 2 aparece pelos casos que falaste contra no 1. A questão do 2 poderá significar 1 de 2 coisas (supuseste a 1ª da minha seguinte lista):

1. Este cálculo não será sempre realizado mas sim se algum valor de referência não coincidir com o esperado.

Por exemplo: Se o utilizador tiver JavaScript activo, digamos que irás alterar um qualquer valor de hash que o teu script reconhecerá como o utilizador tendo JavaScript activo, o que não irá acontecer se esta hash não coincidir com o esperado, logo, nessa situação será efectuado o cálculo no servidor, já que o utilizador não tem ou não quer ter activo o JavaScript.

2. Neste caso falo em double-check apenas para verificar se a informação foi correctamente submetida e não para recalcular, ou seja, permitindo apenas o submit do formulário por JavaScript (existem várias maneiras de garantir isto), e, se não fio submetido por JavaScript, rejeitar o processo.

Nestes casos nunca repito o processo 2 vezes, e mesmo que repetisse, num qualquer outro caso, seria uma vez no cliente e uma vez no servidor, garantia mais segurança sem perder performance.

Então dessa forma basta o utilizador submeter bem um valor qualquer que o servidor aceita, independentemente deste estar alterado ou não? Continuo a achar seguro fazer tudo server-side, pois mesmo que tentes comparar o submit com o valor esperado, ele valor esperado tem de vir de qualquer lado.
Mas se a presença ou não do JS nos browsers, e a falta de protecção dos dados submetidos contra fraude não for um problema, sim, é super preferível tratar dessas operações em client-side para não sobrecarregar o servidor claro.