调试易

session 与客户端无无关，所以不知道楼主的思路的依据是什么

楼主的思路其实根本用不着写数据库的，你在表单页生成一个SESSION，值随机，通过隐藏表单提交到数据处理页，将接收到的该值与SESSION值比较是否相同即可。这个方法我也不知道用什么可以绕过，但怀疑一切客户提交的数据，服务器端还是要验证

听起来似乎只要把javascript禁用了就可以绕过了

其实只要用firebug就能绕过你的方法

大体上关于安全上的问题，上面几位都说清楚了~
前端只不过是体验问题，后台的验证是必需。
绕过前端到发数据这个，其实LZ已经有正确的思路。
做法可以查考php框架，如Thinkphp。LZ这句话我还是要说一说的：暂时不考虑FLASH了，这玩意太笨重，目前的网速还承载艰难。
其实不笨重，只要好好利用其特性，网速根本不是什么问题。

不可取，因为js，session 也不安全 js很容易被绕过。。直接用数据模拟 IE体检 啥东东都插入你的数据库了，很不安全多些点代码 测试下 没什么不好！

如果不在服务器端进行验证的话，感觉安全基本不可以保证啊，关于建一个表，把Session中的值隐藏放到页面上，那用户查看下源文件，你那个判断的值是什么一目了然，然后自己伪造一个页面，你根本管不了啊~~~

请问这个正则能不能保证在有JS验证情况下的提交安全？preg_replace("/https?:\/\/([^\:\/]+).*/i", "\\1", $_SERVER['HTTP_REFERER']) == preg_replace("/([^\:]+).*/", "\\1", $_SERVER['HTTP_HOST']))

验证表单信息,可以用jquery的验证插件 ajax到服务端验证,用户体验又好,又安全.

是啊，好像Jquery也以运行效率低著称吧。

UP~但可以判断用户是否是直接访问后台的 httpreferer

可以的...session加域名判断..

试验了一些，目前我自己绕不过去，询问一下，高手们怎么绕进去。网站域名：www.abcd.com数据提交页（即表单所在页）：a.htm  
程序思路：用session记录下两个值，
一个是设定好的值C=www.abcd.com/a.htm;（限定数据只能来源于该页面）
另一个是读取当前页面地址的值D。
当值D不等于值C时，退出。数据处理页：b.php当值D等于值C时，转入该页面b.php。b.php预设一个session，值E=www.abcd.com/a.htm ，当值E等于值D时，写入数据库。大概如此。

只前台验证?
绕过前台验证的方法有N个.
安照你的思路,跟本不用打开你的任何页面,用curl直接给你的程序处理页发数据就行了.

看你的项目需要多大的安全性了，一般用了session验证也差不多了