後臺參數驗證的幾種方式
前言前端
參數驗證是一個常見的問題,不管是前端仍是後臺,都需對用戶輸入進行驗證,以此來保證系統數據的正確性。對於web來講,有些人可能理所固然的想在前端驗證就好了,但這樣是很是錯誤的作法,前端代碼對於用戶來講是透明的,稍微有點技術的人就能夠繞過這個驗證,直接提交數據到後臺。不管是前端網頁提交的接口,仍是提供給外部的接口,參數驗證隨處可見,也是必不可少的。總之,一切用戶的輸入都是不可信的。web
參數驗證有許多種方式進行,下面以mvc爲例,列舉幾種常見的驗證方式,假設有一個用戶註冊方法mvc
[HttpPost]
public ActionResult Register(RegisterInfo info)asp.net
1、經過 if-if 判斷 ide
if(string.IsNullOrEmpty(info.UserName))
{
return FailJson("用戶名不能爲空");
}
if(string.IsNullOrEmpty(info.Password))
{
return FailJson("用戶密碼不能爲空")
}
逐個對參數進行驗證,這種方式最粗暴,但當時在WebForm下也確實這麼用過。對於參數少的方法還好,若是參數一多,就要寫n多的if-if,至關繁瑣,更重要的是這部分判斷無法重用,另外一個方法又是這樣判斷。ui
2、經過 DataAnnotationspa
mvc提供了DataAnnotation對Action的Model進行驗證,說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性,例如RangeAttribute,RequiredAttribute等等。ValidationAttribute 的虛方法IsValid 就是用來判斷被標記的對象是否符合當前規則。asp.net mvc在進行model binding的時候,會經過反射,獲取標記的ValidationAttribute,而後調用 IsValid 來判斷當前參數是否符合規則,若是驗證不經過,還會收集錯誤信息,這也是爲何咱們能夠在Action裏經過ModelState.IsValid判斷Model驗證是否經過,經過ModelState來獲取驗證失敗信息的緣由。例如上面的例子:.net
public class RegisterInfo
{
[Required(ErrorMessage="用戶名不能爲空")]
public string UserName{get;set;}
[Required(ErrorMessage="密碼不能爲空")]
public string Password { get; set; }
}
事實上在webform上也能夠參照mvc的實現原理實現這個過程。這種方式的優勢的實現起來很是優雅,並且靈活,若是有多個Action共用一個Model參數的話,只要在一個地方寫就夠了,關鍵是它讓咱們的代碼看起來很是簡潔。orm
不過這種方式也有缺點,一般咱們的項目可能會有不少的接口,好比幾十個接口,有些接口只有兩三個參數,爲每一個接口定義一個類包裝參數有點奢侈,並且實際上爲這個類命名也是很是頭疼的一件事。對象
3、DataAnnotation 也能夠標記在參數上
經過驗證特性的AttributeUsage能夠看到,它不僅能夠標記在屬性和字段上,也能夠標記在參數上。也就是說,咱們也能夠這樣寫:
public ActionResult Register([Required(ErrorMessage="用戶名不能爲空")]string userName, [Required(ErrorMessage="密碼不能爲空")]string password)
這樣寫也是ok的,不過很明顯,這樣寫很方法參數會難看,特別是在有多個參數,或者參數有多種驗證規則的時候。
4、自定義ValidateAttribute
咱們知道能夠利用過濾器在mvc的Action執行前作一些處理,例如身份驗證,受權處理的。同理,這裏也能夠用來對參數進行驗證。FilterAttribute是一個常見的過濾器,它容許咱們在Action執行先後作一些操做,這裏咱們要作的就是在Action前驗證參數,若是驗證不經過,就再也不執行下去了。
定義一個BaseValidateAttribute基類以下:
public class BaseValidateAttribute : FilterAttribute
{
protected virtual void HandleError(ActionExecutingContext context)
{
for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
{
ValidateHandlerProviders.Handlers[i - 1].Handle(context);
if (context.Result != null)
{
break;
}
}
}
}
HandleError 用於在驗證失敗時處理結果,這裏ValidateHandlerProviders提過IValidateHandler用於處理結果,它能夠在外部進行註冊。IValidateHandler定義以下:
public interface IValidateHandler
{
void Handle(ActionExecutingContext context);
}
ValidateHandlerProviders定義以下,它有一個默認的處理器。
public class ValidateHandlerProviders
{
public static List<IValidateHandler> Handlers { get; private set; }
static ValidateHandlerProviders()
{
Handlers = new List<IValidateHandler>()
{
new DefaultValidateHandler()
};
}
public static void Register(IValidateHandler handler)
{
Handlers.Add(handler);
}
}
這樣作的目的是,因爲咱們可能有不少具體的ValidateAttribute,能夠把這模塊獨立開來,而把最終的處理過程交給外部決定,例如咱們在項目中能夠定義一個處理器:
public class StanderValidateHandler : IValidateHandler
{
public void Handle(ActionExecutingContext filterContext)
{
filterContext.Result = new StanderJsonResult()
{
Result = FastStatnderResult.Fail("參數驗證失敗", 555)
};
}
}
而後再應用程序啓動時註冊:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());
舉個兩個栗子:
ValidateNullttribute:
public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
{
public bool ValidateEmpty { get; set; }
public string Parameter { get; set; }
public ValidateNullAttribute(string parameter, bool validateEmpty = false)
{
ValidateEmpty = validateEmpty;
Parameter = parameter;
}
public void OnActionExecuting(ActionExecutingContext filterContext)
{
string[] validates = Parameter.Split(',');
foreach (var p in validates)
{
string value = filterContext.HttpContext.Request[p];
if(ValidateEmpty)
{
if (string.IsNullOrEmpty(value))
{
base.HandleError(filterContext);
}
}
else
{
if (value == null)
{
base.HandleError(filterContext);
}
}
}
}
public void OnActionExecuted(ActionExecutedContext filterContext)
{
}
}
ValidateRegexAttribute:
public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter
{
private Regex _regex;
public string Pattern { get; set; }
public string Parameter { get; set; }
public ValidateRegexAttribute(string parameter, string pattern)
{
_regex = new Regex(pattern);
Parameter = parameter;
}
public void OnActionExecuting(ActionExecutingContext filterContext)
{
string[] validates = Parameter.Split(',');
foreach (var p in validates)
{
string value = filterContext.HttpContext.Request[p];
if (!_regex.IsMatch(value))
{
base.HandleError(filterContext);
}
}
}
public void OnActionExecuted(ActionExecutedContext filterContext)
{
}
}
更多的驗證同理實現便可。
這樣,咱們上面的寫法就變成:
[ValidateNull("userName,password")]
public ActionResult Register(string userName, string password)
綜合看起來,仍是ok的,與上面的DataAnnotation能夠權衡選擇使用,這裏咱們能夠擴展更多有用的信息,如錯誤描述等等。
總結
固然每種方式都有有缺點,這個是視具體狀況選擇了。通常參數太多建議就用一個對象包裝了。
- 1. 前端Ajax傳參,後臺接收參數的幾種方式
- 2. validation 後臺參數驗證
- 3. 後臺參數驗證
- 4. linux ssh 的幾種驗證方式
- 5. SpringMVC後臺獲取前臺參數和向前臺傳值的幾種方式
- 6. java validation 後臺參數驗證
- 7. 後端獲取前臺參數的幾種方法
- 8. SpringMVC獲取參數的幾種方式
- 9. Jmeter的幾種參數化方式
- 10. Extjs 表單驗證後,幾種錯誤信息展現方式
- 更多相關文章...
- • XML 驗證 - XML 教程
- • DTD 驗證 - DTD 教程
- • 常用的分佈式事務解決方案
- • TiDB 在摩拜單車在線數據業務的應用和實踐
-
每一个你不满意的现在,都有一个你没有努力的曾经。