送花有bug
你只要數字1,2,3, 後面再跟literal string 就可以做SQL injection

請管理員修復

個人是認為

永遠不要把使用者想得太聰明
也不要把使用者想得太笨
使用者會幹出什麼傻事實在很難想像

以WEB方面的程式來說
我會建議客戶端的檢查寫一份(以Script的方式)
然後在伺服器端在寫一份檢查

第一個檢查因為是在客戶端檢查
大部分的使用者如果沒有意外的話
操作錯誤都可以在第一個檢查就被找出來
這樣可以減少伺服器的負擔

第二部分的檢查就是防止那種比較故意的破壞
所以非常重要一定要做

如果寫得很煩的話
可以多多利用函數或者是物件的方式把常用的檢查寫好
以後直接套用即可
寫的功能越全面也越好用

以我自己來說
RegExp的檢查就會寫兩種
一種是客戶端的
一種是伺服端的

針對表單在伺服器端的檢查還會加上來源判斷
當然，這個東西也可以加在一些必要的流程中(防止被直接省略過一些步驟)

有時候我自己覺得
參考使用者的習慣不是壞事
但是有些東西還是得制定好規定
並且做好防護措施比較好

寧願多花些功夫做好保險
也不要以後補洞補的要死

輸入界面的防呆, 其實已經是寫程式裡面最簡單的一部分了, 只是繁瑣而已
但是, 只要是輸入界面, 就應該每個部份都要加上去, 這是寫程式無聊而必須做的一部分
至於浪費資源, 其實也還好, 現在CPU 那麼快, 跑那一點點檢查程式, 影響還是很小的
一般程式, 防呆當然只需要一段, client/server 的程式, 就必須乖乖做兩段
一段可以在client 端先檢查, 但是可能遇到有人進行實驗, 硬是幫你把client 端程式改變
所以, 另一段必須乖乖放server 端, 不可省略

防呆程式只是繁瑣的檢查資料是不是容許的, 難度不高, 但是粉煩
反而某些處理格式相關的程式, 才真的是猜謎大會串 -- 不但繁瑣, 還很困難
例如: 寫個MP3 IDxx 的parser, 你就會發現, 資料說明只是參考, 實際上是猜謎大會
          猜的內容則是網路上四面八方的仁兄, 可能會怎樣誤解規格, 或者寫出怎樣的錯誤程式
          然後產生千奇百怪的資料, 而你的程式, 要在各種情形下, 不容許當機, 呵

哈 Soupjvc999 大大說的很有同感啊～

其實外面有一些在講這方面的書可以去找來看看，我有陣子對這方面的東西很有興趣
他大抵上是歸類在 GUI 設計和程式設計 "法則" 之類的書～

防呆的意思,應該是防開發者的呆
哈  出錢的人永遠都是說話大聲的那邊

一開始有想到的地方就盡量做  沒想到的地方等到有蟲再改
無聊時候就打開別的 framework 看看別人怎麼防

所以才需要測試工程師阿

以前唸書的時候，學校老師說過他們以前寫的程式拿去交卷的時候，
他們的老師做的第一件事就是執行程式之後，就先開始亂敲一通，
如果出現任何問題，那就丟回去退卷.....
所以讓程式順利運作不要出現讓 USER 看不懂的訊息也算是 PG 該盡的義務吧？
像我現在待在 User 單位，只要出現任何跟他想像中不一樣的東西，
出現中文訊息都會說不懂了，更不要說英文訊息，那是直接死給你看啦。
有的時候是程式的問題，有的時候是資料面上的錯誤，User 輸入了錯誤的資料，
但是這時候你要 User 怎麼辦？你當然可以說是他的錯，
但是不管是誰對誰錯，到最後還是你要去處理，反正他們就是兩手一拍，
說一句：『啊，我不懂啊！』，你能奈他何？
ㄜ....好像變成在發牢騷了....到此結束...