それだと、input type textはXSS対策必要だが、radioやcheckbox、select/optionはいらん、みたいな捉えられ方すると困るんだけど、世の中にはデベロッパーツールいじったりPostmanでPOSTしてきたりする輩もいるので、HTMLにベタ書きされてるからと言って、その値のままPOSTされるとは限らん。PHPのValitronというバリデーションパッケージには、規定の配列値にない入力はエラーにする、っていう設定もある。選択肢系はこういうオプションを使って、フロントとバックエンドで情報を共有しつつバリデーションかけた方が良い。

返信の受付は終了いたしました。