Безопасно ли подставлять пользовательский ввод на стороне клиента в JS?

Question

[Dreaded]

Пользователь заполняет форму такого типа:

<form method="post" enctype="multipart/form-data" class="someClass">
  <input type="text" name="userName">
  <input type="text" name="userEmail">
  <input type="text" name="userPassword1">
  <input type="text" name="userPassword2">
  <button type="submit" id="sumbitForm1">Submit</button>
</form>

В поле userPassword1 и userpassword2 на стороне сервера я проверяю только их идентичность. И если они одинаковы, то сохраняю хэш в базу.
Вопрос такой: безопасно ли подставлять в форму в JS скрипте эти данные следующим образом( value отправляет сервер только в том случае если оба поля одинаковы):

$('[name = userPassword1]').val(value);
$('[name = userPassword2]').val(value);

Или же это плохая идея, так как пароль мы совершенно не фильтруем?

Answer 1

[Rsa97]

Пароль с сервера на клиент передаваться не должен ни в коем случае. И храниться в открытом виде на сервере пароль не должен.
Идея ваша ужасна не потому, что в поле может попасть что-то не то, а по самому факту передачи пароля куда-либо с сервера.

Comments

[Dreaded]

Rsa97 Так пароль у меня не хранится в открытом виде на сервере. Это форма регистрации. Вот что у меня в PHP коде:

if (!empty($_POST['password1']) && !empty($_POST['password2'])) {
        if ($_POST['password1'] == $_POST['password2']) {
            $password = password_hash($_POST['password1'], PASSWORD_DEFAULT);
        } else {
            $response['errors']['password1'] = 'Пароли не совпадают!';
            $response['errors']['password2'] = 'Пароли не совпадают!';
        }
        $response['values']['password1'] = '';  //  Вопрос: могу ли я тут подставить введенное 
                                                //    пользователем значение или нет?
        $response['values']['password2'] = ''; 
        
        // Далее, если все поля формы валидные - отправляем запрос в бд.
    }

В js коде, при условии , что не все поля прошли валидацию, я в валидных полях сохраняю значения, а в невалидных нет - дабы не заполнять форму полностью заного. И моя идея в том, что

[Rsa97]

Dreaded,

value отправляет сервер только в том случае если оба поля одинаковы

Зачем это нужно? Если у вас поля с типом text, то пользователь видит пароль при вводе, делать два поля смысла не имеет. Если поля с типом password, то пользователь увидит только звёздочки, возвращать пароль смысла не имеет.

[Dreaded]

Rsa97, я вижу это так:
Я заполняю форму, в которой, допустим, помимо стандартных логин- емэйл - пароль, есть еще куча других полей, типа, кличка домашнего животного, любимый цвет и марка первого автомобиля.
Так вот, если я ошибся, при вводе email'a например и отправил форму, то валидные значения в форме останутся а невалидные нет. Все текстовые поля я фильтрую с помощью регулярок и strip_tags, поэтому подставлять их безопасно. А как быть с паролем? Да, поле у меня text, но получается если не подставлять в форму ранее введенное значение, то при перезагрузке формы пароли придется вводить заного, вместе с невалидными полями. Ну и поскольку я совсем недавно начал изучать js , меня мучает вопрос - является ли это безопасным?

[Rsa97]

Dreaded, У вас два поля типа text. Пароль в них виден открыто. Зачем нужны два поля? Или вы считаете, что человек в одном поле не увидит неправильно введённый пароль?

[Dreaded]

Rsa97 , да, действительно вы правы. Это нелогично :)
Но всё равно, это не отменяет моего вопроса: безопасно или нет подставлять такие данные?

[Rsa97]

Dreaded, При передаче по https - достаточно безопасно, но бессмысленно.

Answer 2

[Павел Корнилов]

Если я верно понял, вы хотите сделать первичную валидацию паролей на клиенте на предмет их идентичности?
Тогда всё гуд, можете делать смело. Действительно, зачем серверу лишний запрос, если пароли введены не одинаковые. Он должен его обработать и вернуть ответ с ошибкой.
Серверную валидацию это, конечно, не отменяет ни коим образом.

Comments

[Dreaded]

KorniloFF , почти так. На клиенте у меня есть первичная валидация полей, но, так как вы заметили, серверную валидацию никто не отменял, я после отправки данных из формы на сервер, получаю от сервера массив с ошибками, и массив с валидными значениями. Там где значения валидны - я подставляю их форму(что бы не пришлось вводить заного). А там где значения невалидны - вывожу описание ошибки.
Например, если в поле имя человек вводит данные соответствующие регулярке, то это значение попадает на сервере в массив с валидными значениями. С паролем же ситуация немного другая - для того что бы сервер определили его валидным - достаточно что бы оба поля совпадали. Вот поэтому и вопрос - насколько это безопасно, при перезагрузке формы подставить в поле с паролем уже введеное юзером значение?

[Павел Корнилов]

Dreaded, нет, нельзя слать с сервера незахешированный пароль. А в захешированном виде - слать смысла нет, на клиенте он будет бесполезен.
Вся описанная операция от ввода данных, валидации, до отправки на сервер - безопасна.
Чтобы данные не убирались из формы после отправки на сервер - используйте ajax. Тогда страница не перезагрузится. А ответ сервера с возможными ошибками выводите поп-апом, либо динамически вставляйте в существующий контент. Это совсем не сложно. Но плюс будет огромным - никакой обратной пересылки пароля.

[Dreaded]

KorniloFF, я забыл упомянуть, что это форма регистрации. Какая разница - захеширован пароль или нет если в базе его нету в любом случае? (В базу всё идет в виде хешей, да)

[Павел Корнилов]

Dreaded, вы же спрашиваете, как лучше сделать? Я вам говорю - отправляйте форму на валидацию/сохранение аяксом. И проблем у вас не будет.
Да, я понимаю, что регистрация и всё такое, но сам подход не верный. Если вы единственный разработчик и делаете для себя, то ладно. Во всех остальных случаях - могут в это тыкнуть носом. Зачем себя подставлять?