Segurança em Formulários
Um dos mais antigos métodos de adição de dados em um website e até mesmo na maioria dos sistemas é o formulário, durante os ultimos anos a forma como esses formulários são utilizados nos sites mudou, não existe mais um padrão do formato do formulário (O que ainda não acontece muito em aplicações desktop por exemplo) os campos podem ser de todos os formatos, maiores, menores, coloridos, preto e branco; Porém a sua funcionalidade continua a mesma, enviar dados o que muitas pessoas esquecem é o tratamento que esses dados devem ter antes de serem guardados.
Com a facilidade hoje de se validar o formulário comum simples javascript ainda mais com as frameworks mais populares como o jQuery,Mootools etc. Novos plugins para esta função sempre aparecem mas alguns desenvolvedores entraram na onda mais do que deveriam e esqueceram de um conceito bem básico "Nunca esqueça de fazer a validação também no servidor".
A Facilidade fez com que muitos desenvovedores pensassem somente no básico da validação por Javascript, é mais facil e rapido do que nunca porém existe uma coisa bem importante, o Javascript pode ser desativado em qualquer browser ou mesmo browsers sem o suporte a javascript podem ser utilizados também o que acabaria com qualquer validação que o javascript poderia fazer. Alguns podem alegar que fez a postagem utilizando o Javascript e que com ele desligado o formulario não poderia ser enviado, mas como tudo tem uma excessão sem a validação no servidor uma pessoa poderia facilmente fazer um post em seu arquivo de envio utilizando seus próprios campos que são mostrados quando o javascript esta ligado, com estas informações uma pessoa comprometeria facilmente todo um sistema por esta pequena falha que pode acarretar em um problema gigante.
Há vários passos para validar um formulário, todas as varíáveis de um formulário devem ser limpas quando forem postados, qualquer checagem que você fez em javascript deve ser refeita pela programação no servidor para evitar qualquer problema e para melhorar ainda mais você pode usar um TOKEN na sua página de envio de dados gravar em uma seção e comparar depois na hora do post assim você pode garantir que os dados foram enviados do seu próprio site evitando spam desnecessários.
São passos simples que se bem utilizados vão garantir a qualidade de seu site ou sistema, lembre-se não se deixe influenciar pelas "novidades" pense pra frente em todas as possibilidades assim você irá ganhar mais tranquilidade e confiança de seus clientes.