PHP - Validar datos dinámicos recibidos cliente

Hola!

Como sabemos se debe validar los datos en el cliente y en el servidor.

Sin embargo la cosa se complica al validar valores dinámicos generados en el cliente, por ejemplo, un select con unos determinados valores generados según determinadas selecciones en cliente, podria ser esto:


Yo lo que suelo hacer para saber que el usuario no ha cambiado ningún valor de los option (mediante el inspector del navegador) además del valor le paso una especie de "token". Dicho "token" es el resultado de: sha1(id de sesion del cliente + valor select), por tanto queda así (son token inventados):


¿Es correcto?, ¿Qué opináis?

Muchas gracias!

Así como cambian el numero igual puede cambiar el token para que coincida.

Si esos option son dinámicos y surgen de una consulta

igual puedes realizar la misma consulta agregando al where el valor elegido por el usuario
Si no obtienes resultado es porque el option fue alterado.

No me queda claro de qué te estás protegiendo.

¿Podrías mostrar un ejemplo de cómo alguien podría abusar de tu dropdown si no usaras el token?

¿No alcanza con validar que el valor recibido está dentro del conjunto de los usados para generar el dropdown?

Por ejemplo, después de que el usuario realice una serie de elecciones y cálculos varios, en php se genera dicho select con el token.

Si no realizará lo del token una vez enviado el select al servidor se debería realizar toda esa serie de cálculos en php de nuevo para validar y no sería muy práctico

Ya veo... ¿y no puedes guardar el conjunto de valores aceptables en la sesión por ejemplo?

En ocasiones podría valer si.

El tema de validar en el front y en el backend me resulta redundante pero es inevitable.

Claro, hay que validar en ambos lados, pero lo que yo decía era guardar en la sesión los valores precisamente para evitar el doble cálculo.