后台参数验证的几种方式

前言

  参数验证是一个常见的问题,无论是前端还是后台,都需对用户输入进行验证,以此来保证系统数据的正确性。对于web来说,有些人可能理所当然的想在前端验证就行了,但这样是非常错误的做法,前端代码对于用户来说是透明的,稍微有点技术的人就可以绕过这个验证,直接提交数据到后台。无论是前端网页提交的接口,还是提供给外部的接口,参数验证随处可见,也是必不可少的。总之,一切用户的输入都是不可信的。

  参数验证有许多种方式进行,下面以mvc为例,列举几种常见的验证方式,假设有一个用户注册方法

  [HttpPost]
  public ActionResult Register(RegisterInfo info)

一、通过 if-if 判断  

            if(string.IsNullOrEmpty(info.UserName))
            {
                return FailJson("用户名不能为空");
            }
            if(string.IsNullOrEmpty(info.Password))
            {
                return FailJson("用户密码不能为空")
            }

  逐个对参数进行验证,这种方式最粗暴,但当时在WebForm下也确实这么用过。对于参数少的方法还好,如果参数一多,就要写n多的if-if,相当繁琐,更重要的是这部分判断没法重用,另一个方法又是这样判断。

二、通过 DataAnnotation

  mvc提供了DataAnnotation对Action的Model进行验证,说到底DataAnnotation就是一系列继承了ValidationAttribute的特性,例如RangeAttribute,RequiredAttribute等等。ValidationAttribute 的虚方法IsValid 就是用来判断被标记的对象是否符合当前规则。asp.net mvc在进行model binding的时候,会通过反射,获取标记的ValidationAttribute,然后调用 IsValid 来判断当前参数是否符合规则,如果验证不通过,还会收集错误信息,这也是为什么我们可以在Action里通过ModelState.IsValid判断Model验证是否通过,通过ModelState来获取验证失败信息的原因。例如上面的例子:

    public class RegisterInfo
    {
        [Required(ErrorMessage="用户名不能为空")]
        public string UserName{get;set;}

        [Required(ErrorMessage="密码不能为空")]
        public string Password { get; set; }
    }

  事实上在webform上也可以参照mvc的实现原理实现这个过程。这种方式的优点的实现起来非常优雅,而且灵活,如果有多个Action共用一个Model参数的话,只要在一个地方写就够了,关键是它让我们的代码看起来非常简洁。

  不过这种方式也有缺点,通常我们的项目可能会有很多的接口,比如几十个接口,有些接口只有两三个参数,为每个接口定义一个类包装参数有点奢侈,而且实际上为这个类命名也是非常头疼的一件事。

三、DataAnnotation 也可以标记在参数上

  通过验证特性的AttributeUsage可以看到,它不只可以标记在属性和字段上,也可以标记在参数上。也就是说,我们也可以这样写:

public ActionResult Register([Required(ErrorMessage="用户名不能为空")]string userName, [Required(ErrorMessage="密码不能为空")]string password)

  这样写也是ok的,不过很明显,这样写很方法参数会难看,特别是在有多个参数,或者参数有多种验证规则的时候。

四、自定义ValidateAttribute

  我们知道可以利用过滤器在mvc的Action执行前做一些处理,例如身份验证,授权处理的。同理,这里也可以用来对参数进行验证。FilterAttribute是一个常见的过滤器,它允许我们在Action执行前后做一些操作,这里我们要做的就是在Action前验证参数,如果验证不通过,就不再执行下去了。

  定义一个BaseValidateAttribute基类如下:

    public class BaseValidateAttribute : FilterAttribute
    {
        protected virtual void HandleError(ActionExecutingContext context)
        {
            for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
            {
                ValidateHandlerProviders.Handlers[i - 1].Handle(context);
                if (context.Result != null)
                {
                    break;
                }
            }
        }
    }

  HandleError 用于在验证失败时处理结果,这里ValidateHandlerProviders提过IValidateHandler用于处理结果,它可以在外部进行注册。IValidateHandler定义如下:

    public interface IValidateHandler
    {
        void Handle(ActionExecutingContext context);
    }

  ValidateHandlerProviders定义如下,它有一个默认的处理器。

    public class ValidateHandlerProviders
    {
        public static List<IValidateHandler> Handlers { get; private set; }

        static ValidateHandlerProviders()
        {
            Handlers = new List<IValidateHandler>()
            {
                new DefaultValidateHandler()
            };
        }

        public static void Register(IValidateHandler handler)
        {
            Handlers.Add(handler);
        }
    }  

  这样做的目的是,由于我们可能有很多具体的ValidateAttribute,可以把这模块独立开来,而把最终的处理过程交给外部决定,例如我们在项目中可以定义一个处理器:

    public class StanderValidateHandler : IValidateHandler
    {
        public void Handle(ActionExecutingContext filterContext)
        {
            filterContext.Result = new StanderJsonResult()
            {
                Result = FastStatnderResult.Fail("参数验证失败", 555)
            };
        }
    }

  然后再应用程序启动时注册:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());

  举个两个栗子:

  ValidateNullttribute:

    public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
    {
        public bool ValidateEmpty { get; set; }

        public string Parameter { get; set; }

        public ValidateNullAttribute(string parameter, bool validateEmpty = false)
        {
            ValidateEmpty = validateEmpty;
            Parameter = parameter;
        }

        public void OnActionExecuting(ActionExecutingContext filterContext)
        {
            string[] validates = Parameter.Split(‘,‘);
            foreach (var p in validates)
            {
                string value = filterContext.HttpContext.Request[p];
                if(ValidateEmpty)
                {
                    if (string.IsNullOrEmpty(value))
                    {
                        base.HandleError(filterContext);
                    }
                }
                else
                {
                    if (value == null)
                    {
                        base.HandleError(filterContext);
                    }
                }
            }
        }

        public void OnActionExecuted(ActionExecutedContext filterContext)
        {

        }
    }

  ValidateRegexAttribute:

    public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter
    {
        private Regex _regex;

        public string Pattern { get; set; }

        public string Parameter { get; set; }

        public ValidateRegexAttribute(string parameter, string pattern)
        {
            _regex = new Regex(pattern);
            Parameter = parameter;
        }

        public void OnActionExecuting(ActionExecutingContext filterContext)
        {
            string[] validates = Parameter.Split(‘,‘);
            foreach (var p in validates)
            {
                string value = filterContext.HttpContext.Request[p];
                if (!_regex.IsMatch(value))
                {
                    base.HandleError(filterContext);
                }
            }
        }

        public void OnActionExecuted(ActionExecutedContext filterContext)
        {

        }
    }

  更多的验证同理实现即可。

  这样,我们上面的写法就变成:

        [ValidateNull("userName,password")]
        public ActionResult Register(string userName, string password)

  综合看起来,还是ok的,与上面的DataAnnotation可以权衡选择使用,这里我们可以扩展更多有用的信息,如错误描述等等。

总结

  当然每种方式都有有缺点,这个是视具体情况选择了。一般参数太多建议就用一个对象包装了。

时间: 2024-10-10 09:58:31

后台参数验证的几种方式的相关文章

action中请求参数获取的两种方式

action中请求参数获取的两种方式 1.属性驱动? a.直接在 action 类中提供与请求参数匹配属性,提供 get/set 方法? b.在 action 类中创始一个 javaBean,对其提供 get/set ,在请求时页面上要进行修改,? 例如 user.username user.password ,要使用 ognl 表达式? 以上两种方式的优缺点:? 第一种比较简单,在实际操作我们需要将 action 的属性在赋值给模型(javaBean)去操作? 第二种:不需要在直接将值给 ja

Hibernate 带参数查询的两种方式

1.使用?通配符 public User validate(String userName, String password) { String hql = "from User u where u.userName = ? and u.password = ?"; User user = null; List<User> list = ht.find(hql, new Object[]{userName, password}); if (list.size()!=0){

struts请求参数注入的三种方式

.请求参数的注入 在Struts2框架中,表单的提交的数据会自动注入到与Action对象相对应的属性.它与Spring框架中的IoC的注入原理相同,通过Action对象为属性提供setter方法注入 要求: jsp中表单的name属性与Action中对应的属性的setter方法对应.要注入属性值的Action对象,必须为该属性提供setXXX()方法,因为Struts2的内部实现是按照JavaBean规范中提供的setter方法,自动为属性注入值 所以一般在Action中注入的属性的属性名与表单

JAVA validation 后台参数验证

一.前言 在后台开发过程中,对参数的校验成为开发环境不可缺少的一个环节.比如参数不能为null,email那么必须符合email的格式,如果手动进行if判断或者写正则表达式判断无意开发效率太慢,在时间.成本.质量的博弈中必然会落后.所以把校验层抽象出来是必然的结果,下面说下几种解决方案. 二.解决方案 1.struts2的valid 可以通过配置xml,xml中描述规则和返回的信息,这种方式比较麻烦.开发效率低,不推荐 2.validation bean 是基于JSR-303标准开发出来的,使用

asp.net 登陆验证 Form表单验证的3种方式 FormsAuthentication.SetAuthCookie;FormsAuthentication.RedirectFromLoginPage;FormsAuthenticationTicket

我们在登陆成功后,使用下面的3种方法,都是同一个目的:创建身份验证票并将其附加到 Cookie, 当我们用Forms认证方式的时候,可以使用HttpContext.Current.User.Identity.IsAuthenticated  (或者也可以用 Request.IsAuthenticated ,这个实际上也是调用的是User.Identity.IsAuthenticated来验证)来判断是否登陆;而这个判断就是依赖于这个Cookie里的信息判断用户是否登陆. FormsAuthent

WebApi服务Uri加密及验证的两种方式

最近的一个项目要求服务端与UI层分离,业务层以WebApi方式向外提供所有业务服务,服务在数据保密性方面提出了要求,主要包括: 1:客户端认证: 2:服务请求超时(默认5分钟): 3:服务Get请求的参数密文传输. 以上三个需求为一般的网络服务比较常见的简单要求,在WebApi项目中也比较容易实现,以下是我采用的两种实现方式(任意一种即可): 一:继承HttpClient来加入数据(Uri)加密,加入验证Header,继承ApiController来对Header进行合法性验证,并解密Uri 客

在表单提交前进行验证的几种方式

1在button的submit事件时判断 <button type="submit">提交</button> ("#form").bind("submit",function(){ var txt_firstname = $.trim($("#firstname").attr("value")); var isSuccess = 1;//默认验证通过 if(txt_firstname

SQL Server验证的两种方式

1.Windows身份验证:本机连接或者受信的局域网连接(一般在忘记管理员密码或者做系统配置的情况下使用). 2.SQLServer验证:使用用户名.密码验证(推荐使用). 启用方法:以Windows身份验证进去,然后右键根节点—>安全性. 3.sa用户:SQLServer的最高权限管理员账户,启用方法:根节点—>安全性—>sa—>常规中修改密码,默认的是强制复杂密码,可以取消“强制实施密码策略”.“状态”的“登陆”勾选为“启用”. 4.基于安全考虑,不要启用sa账户,而是针对数据

前端向后台发送请求有几种方式?

1. link标签的href属性 2. script标签的src属性 3. img标签的src属性 4. ajax发送请求 5. 表单提交发送请求 6. a标签的href发送请求 7. iframe的src属性发送请求