前言
參數驗證是一個常見的問題,無論是前端或後台,都需對使用者輸入進行驗證,以此來確保系統資料的正確性。對於web來說,有些人可能理所當然的想在前端驗證就行了,但這樣是非常錯誤的做法,前端代碼對於用戶來說是透明的,稍微有點技術的人就可以繞過這個驗證,直接提交數據到後台。無論是前端網頁提交的接口,還是提供給外部的接口,參數驗證隨處可見,也是必不可少的。總之,一切用戶的輸入都是不可信的。
參數驗證有許多種方式進行,以下以mvc為例,列舉幾個常見的驗證方式,假設有一個使用者註冊方法
[HttpPost] public ActionResult Register(RegisterInfo info)
一、透過if-if
逐一對參數進行驗證,這種方式最粗暴,但當時在WebForm下也確實這麼用過。對於參數少的方法還好,如果參數一多,就要寫n多的if-if,相當繁瑣,更重要的是這部分判斷沒辦法重用,另一個方法又是這樣判斷。 二、透過 DataAnnotationmvc提供了DataAnnotation對Action的Model進行驗證,說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性,例如RangeAttribute,RequiredAttribute等等。 ValidationAttribute 的虛方法IsValid 就是用來判斷被標記的物件是否符合目前規則。 asp.net mvc在進行model binding的時候,會透過反射,取得標記的ValidationAttribute,然後呼叫IsValid 來判斷目前參數是否符合規則,如果驗證不通過,還會收集錯誤訊息,這也是為什麼我們可以在Action裡透過ModelState.IsValid判斷Model驗證是否通過,透過ModelState來取得驗證失敗資訊的原因。例如上面的例子:if(string.IsNullOrEmpty(info.UserName))
{
return FailJson("用户名不能为空");
}
if(string.IsNullOrEmpty(info.Password))
{
return FailJson("用户密码不能为空")
}
事實上在webform上也可以參考mvc的實作原理來實現這個過程。這種方式的優點的實現起來非常優雅,而且靈活,如果有多個Action共用一個Model參數的話,只要在一個地方寫就夠了,關鍵是它讓我們的程式碼看起來非常簡潔。 不過這種方式也有缺點,通常我們的項目可能會有很多的接口,比如幾十個接口,有些接口只有兩三個參數,為每個接口定義一個類包裝參數有點奢侈,而且實際上為這個類別命名也是非常頭痛的一件事。 三、DataAnnotation 也可以標記在參數上透過驗證特性的AttributeUsage可以看到,它不僅可以標記在屬性和欄位上,也可以標記在參數上。也就是說,我們也可以這樣寫:public class RegisterInfo
{
[Required(ErrorMessage="用户名不能为空")]
public string UserName{get;set;}
[Required(ErrorMessage="密码不能为空")]
public string Password { get; set; }
}
這樣寫也是ok的,不過很明顯,這樣寫很方法參數會難看,特別是在有多個參數,或者參數有多種驗證規則的時候。 四、自訂ValidateAttribute我們知道可以利用過濾器在mvc的Action執行前做一些處理,例如身份驗證,授權處理的。同理,這裡也可以用來驗證參數。 FilterAttribute是一個常見的過濾器,它允許我們在Action執行前後做一些操作,這裡我們要做的就是在Action前驗證參數,如果驗證不通過,就不再執行下去了。 定義一個BaseValidateAttribute基類如下:public ActionResult Register([Required(ErrorMessage="用户名不能为空")]string userName, [Required(ErrorMessage="密码不能为空")]string password)HandleError 用於在驗證失敗時處理結果,這裡ValidateHandlerProviders提過IValidateHandler。 IValidateHandler定義如下:
public class BaseValidateAttribute : FilterAttribute
{
protected virtual void HandleError(ActionExecutingContext context)
{
for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
{
ValidateHandlerProviders.Handlers[i - 1].Handle(context);
if (context.Result != null)
{
break;
}
}
}
}
ValidateHandlerProviders定義如下,它有一個預設的處理器。 public interface IValidateHandler
{
void Handle(ActionExecutingContext context);
}
這樣做的目的是,由於我們可能有很多特定的ValidateAttribute,可以把這模組獨立開來,而把最終的處理過程交給外部決定,例如我們在專案中可以定義一個處理器:public class ValidateHandlerProviders
{
public static List<IValidateHandler> Handlers { get; private set; }
static ValidateHandlerProviders()
{
Handlers = new List<IValidateHandler>()
{
new DefaultValidateHandler()
};
}
public static void Register(IValidateHandler handler)
{
Handlers.Add(handler);
}
}
然後再應用程式啟動時註冊:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());舉個兩個子:🜎
ValidateRegexAttribute:
public class StanderValidateHandler : IValidateHandler
{
public void Handle(ActionExecutingContext filterContext)
{
filterContext.Result = new StanderJsonResult()
{
Result = FastStatnderResult.Fail("参数验证失败", 555)
};
}
}
更多的驗證同理實現即可。
這樣,我們上面的寫法就變成:
public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
{
public bool ValidateEmpty { get; set; }
public string Parameter { get; set; }
public ValidateNullAttribute(string parameter, bool validateEmpty = false)
{
ValidateEmpty = validateEmpty;
Parameter = parameter;
}
public void OnActionExecuting(ActionExecutingContext filterContext)
{
string[] validates = Parameter.Split(',');
foreach (var p in validates)
{
string value = filterContext.HttpContext.Request[p];
if(ValidateEmpty)
{
if (string.IsNullOrEmpty(value))
{
base.HandleError(filterContext);
}
}
else
{
if (value == null)
{
base.HandleError(filterContext);
}
}
}
}
public void OnActionExecuted(ActionExecutedContext filterContext)
{
}
}
綜合看起來,還是ok的,與上面的DataAnnotation可以權衡選擇使用,這裡我們可以擴展更多有用的信息,如錯誤描述等等。
總結
當然每種方式都有缺點,這個是視具體情況選擇了。一般參數太多建議就用一個物件包裝了。
更多ASP.NET MVC後台參數驗證的幾種方式相關文章請關注PHP中文網!
c語言編譯器怎麼加下一格Mar 03, 2025 pm 05:44 PM本文解釋瞭如何使用printf中的\ n逃脫序列在C中創建新線字符並列出函數。 它詳細介紹了功能並提供了代碼示例,以說明其用於輸出中的線路斷裂。
C語言中NULL的替代方案有哪些Mar 03, 2025 pm 05:37 PM本文探討了C中的無指針啟用的挑戰。它認為問題本身不是零,而是濫用。 本文詳細介紹了預防退出的最佳實踐,包括提出前檢查,指針pitiberi
c語言編譯器哪個好?Mar 03, 2025 pm 05:39 PM本文指導初學者選擇C編譯器。 它認為,海灣合作委員會由於其易用性,廣泛的可用性和廣泛的資源,最適合初學者。 但是,它也比較了海灣室,Clang,MSVC和TCC,突出了它們的差異
C語言中NULL在現代編程中還重要嗎Mar 03, 2025 pm 05:35 PM本文強調了NULL在現代C編程中的持續重要性。 儘管取得了進步,但NULL對於明確的指針管理仍然至關重要,從而通過標記沒有有效的內存地址來防止細分故障。 最好的prac
c語言編譯器網頁版有哪些?Mar 03, 2025 pm 05:42 PM本文回顧了初學者的在線C編譯器,重點是易用性和調試功能。 在線GDB和REPL。 其他選項,例如Programiz和Compil
c語言編譯器複製代碼方法Mar 03, 2025 pm 05:43 PM本文討論了C IDE中的有效代碼複製。 它強調,複製是IDE功能,而不是編譯器功能,並且詳細提高了效率的策略,包括使用IDE選擇工具,代碼折疊,搜索/替換,Templa
c語言在線編程網站 c語言編譯器官方網站匯總Mar 03, 2025 pm 05:41 PM本文比較在線C編程平台,突出了諸如調試工具,IDE功能,標準合規性和內存/執行限制等功能的差異。 它認為“最佳”平台取決於用戶需求
c語言編譯器安裝教程(電腦版)Mar 03, 2025 pm 05:41 PM該教程通過在Windows,MacOS和Linux上安裝C編譯器來指導用戶。 它詳細介紹了流行編譯器(Mingw,Visual Studio,Xcode,GCC)的安裝,解釋了環境變量配置,並提供故障排除步驟
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
DVWA
Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序,非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具,幫助Web開發人員更好地理解保護網路應用程式的過程,並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞,難度各不相同。請注意,該軟體中
Atom編輯器mac版下載
最受歡迎的的開源編輯器
Dreamweaver Mac版
視覺化網頁開發工具
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
