Ich habe eine Wettbewerbsseite auf der Website meines Unternehmens. Um an dem Wettbewerb teilzunehmen, muss man sich anmelden, und zwar mit einer E-Mail und einer 4-stelligen PIN. Hier ist das Feld für die PIN:
<input type="password" name="contest_pin" id="contest_pin" maxlength="4" />Wenn die Benutzer das Formular abschicken, wird das Konto in unserer Datenbank erstellt, und dann erhalten sie eine E-Mail (die ich kopiert habe), die die E-Mail-Adresse und die PIN enthält, die sie erstellt haben.
Das Problem ist folgendes: In allen von mir getesteten Browsern (Safari/Chrome/Firefox auf Mac, Chrome/Firefox auf Linux, IE7/8/9 auf Windows) kann ich NICHT mehr als vier Ziffern in das PIN-Feld eingeben. Und dennoch zeigen mehrere der E-Mails, die ich erhalten habe, dass der Benutzer eine PIN mit mehr als 4 Zeichen erstellt hat.
Wie ist das möglich? Gibt es Browser, die maxlength nicht unterstützen? Ich habe es weder mit Opera noch mit einem der mobilen Browser getestet. Es ist kein großes Problem, wenn die PIN länger als 4 Ziffern ist; die Datenbank akzeptiert mehr. Ich frage mich nur, wie sie es geschafft haben, maxlength zu umgehen.
BEARBEITET ZUM HINZUFÜGEN
Es gibt zu viele Antworten, die im Grunde das Gleiche sagen, als dass ich auf alle einzeln eingehen könnte. Ich weiß, dass ich für alles Wichtige immer eine serverseitige Validierung durchführen sollte, und wir haben PHP-Code, der unsere Daten bereinigt, und wenn es sehr wichtig wäre, würde ich auch PHP-Code haben, der die 4-stellige Grenze durchsetzt. Für uns ist es nicht so wichtig, dass sie nur 4 Zeichen lang sind, also habe ich es nicht erzwungen. Ich frage mich nur, warum die maxlength-Eigenschaft nicht das tut, wofür sie gedacht ist, nämlich zu verhindern, dass Benutzer mehr als eine bestimmte Anzahl von Zeichen eingeben. Für diejenigen unter Ihnen, die bösartige Skripte oder Firebug vorgeschlagen haben, kann ich zu 100% sicher sein, dass dies nicht der Fall ist. Nur registrierte Benutzer unserer Website (die auf eine ganz bestimmte Liste von Firmenmitgliedern beschränkt ist) können überhaupt auf die Wettbewerbsseite gelangen, und ich kann garantieren, dass keiner der etwa 100 Personen auf dieser Liste absichtlich versuchen wird, eine Eingabetypeigenschaft zu umgehen.
