Валидация входных данных на сервере

Доверяй, но проверяй на сервере

Любая проверка в браузере обходится за минуту через консоль или curl. Поэтому всё, что приходит на сервер, я валидирую заново.

• Тип и диапазон каждого поля.
• Белый список допустимых значений вместо чёрного.
• Санитизация HTML перед выводом, чтобы не словить XSS.

Понятные сообщения об ошибке - бонус для пользователя, но решение о доверии принимает только сервер.