ASP.NET MVC后台参数验证的几种方式-C#.Net教程-PHP中文网

首页

后端开发

C#.Net教程

ASP.NET MVC后台参数验证的几种方式

高洛峰

Dec 24, 2016 pm 01:27 PM

前言

参数验证是一个常见的问题，无论是前端还是后台，都需对用户输入进行验证，以此来保证系统数据的正确性。对于web来说，有些人可能理所当然的想在前端验证就行了，但这样是非常错误的做法，前端代码对于用户来说是透明的，稍微有点技术的人就可以绕过这个验证，直接提交数据到后台。无论是前端网页提交的接口，还是提供给外部的接口，参数验证随处可见，也是必不可少的。总之，一切用户的输入都是不可信的。

参数验证有许多种方式进行，下面以mvc为例，列举几种常见的验证方式，假设有一个用户注册方法

[HttpPost]
public ActionResult Register(RegisterInfo info)

一、通过 if-if 判断　　

if(string.IsNullOrEmpty(info.UserName))
 
{
 
  return FailJson("用户名不能为空");
 
}
 
if(string.IsNullOrEmpty(info.Password))
 
{
 
  return FailJson("用户密码不能为空")
 
}

逐个对参数进行验证，这种方式最粗暴，但当时在WebForm下也确实这么用过。对于参数少的方法还好，如果参数一多，就要写n多的if-if，相当繁琐，更重要的是这部分判断没法重用，另一个方法又是这样判断。

二、通过 DataAnnotation

mvc提供了DataAnnotation对Action的Model进行验证，说到底DataAnnotation就是一系列继承了ValidationAttribute的特性，例如RangeAttribute,RequiredAttribute等等。ValidationAttribute 的虚方法IsValid 就是用来判断被标记的对象是否符合当前规则。asp.net mvc在进行model binding的时候，会通过反射，获取标记的ValidationAttribute，然后调用 IsValid 来判断当前参数是否符合规则，如果验证不通过，还会收集错误信息，这也是为什么我们可以在Action里通过ModelState.IsValid判断Model验证是否通过，通过ModelState来获取验证失败信息的原因。例如上面的例子：

public class RegisterInfo
 
{
 
  [Required(ErrorMessage="用户名不能为空")]
 
  public string UserName{get;set;}
 
 [Required(ErrorMessage="密码不能为空")]
 
  public string Password { get; set; }
 
}

事实上在webform上也可以参照mvc的实现原理实现这个过程。这种方式的优点的实现起来非常优雅，而且灵活，如果有多个Action共用一个Model参数的话，只要在一个地方写就够了，关键是它让我们的代码看起来非常简洁。

不过这种方式也有缺点，通常我们的项目可能会有很多的接口，比如几十个接口，有些接口只有两三个参数，为每个接口定义一个类包装参数有点奢侈，而且实际上为这个类命名也是非常头疼的一件事。

三、DataAnnotation 也可以标记在参数上

通过验证特性的AttributeUsage可以看到，它不只可以标记在属性和字段上，也可以标记在参数上。也就是说，我们也可以这样写：

public ActionResult Register([Required(ErrorMessage="用户名不能为空")]string userName, [Required(ErrorMessage="密码不能为空")]string password)

这样写也是ok的，不过很明显，这样写很方法参数会难看，特别是在有多个参数，或者参数有多种验证规则的时候。

四、自定义ValidateAttribute

我们知道可以利用过滤器在mvc的Action执行前做一些处理，例如身份验证，授权处理的。同理，这里也可以用来对参数进行验证。FilterAttribute是一个常见的过滤器，它允许我们在Action执行前后做一些操作，这里我们要做的就是在Action前验证参数，如果验证不通过，就不再执行下去了。

定义一个BaseValidateAttribute基类如下：

public class BaseValidateAttribute : FilterAttribute
 
{
 
  protected virtual void HandleError(ActionExecutingContext context)
 
  {
 
    for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
 
    {
 
      ValidateHandlerProviders.Handlers[i - 1].Handle(context);
 
      if (context.Result != null)
 
      {
 
        break;
 
      }
 
    }
 
  }
 
}

HandleError 用于在验证失败时处理结果，这里ValidateHandlerProviders提过IValidateHandler用于处理结果，它可以在外部进行注册。IValidateHandler定义如下：

public interface IValidateHandler
 
{
 
  void Handle(ActionExecutingContext context);
 
}

ValidateHandlerProviders定义如下，它有一个默认的处理器。

public class ValidateHandlerProviders
 
{
 
  public static List<IValidateHandler> Handlers { get; private set; }
 
  
 
  static ValidateHandlerProviders()
 
  {
 
    Handlers = new List<IValidateHandler>()
 
    {
 
      new DefaultValidateHandler()
 
    };
 
  }
 
  
 
  public static void Register(IValidateHandler handler)
 
  {
 
    Handlers.Add(handler);
 
  }
 
}

这样做的目的是，由于我们可能有很多具体的ValidateAttribute，可以把这模块独立开来，而把最终的处理过程交给外部决定，例如我们在项目中可以定义一个处理器：

public class StanderValidateHandler : IValidateHandler
 
{
 
  public void Handle(ActionExecutingContext filterContext)
 
  {
 
    filterContext.Result = new StanderJsonResult()
 
    {
 
      Result = FastStatnderResult.Fail("参数验证失败", 555)
 
    };
 
  }
 
}

然后再应用程序启动时注册：ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());

举个两个栗子：

ValidateNullttribute:

public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
 
{
 
  public bool ValidateEmpty { get; set; }
 
  
 
  public string Parameter { get; set; }
 
  
 
  public ValidateNullAttribute(string parameter, bool validateEmpty = false)
 
  {
 
    ValidateEmpty = validateEmpty;
 
    Parameter = parameter;
 
  }
 
  
 
  public void OnActionExecuting(ActionExecutingContext filterContext)
 
  {
 
    string[] validates = Parameter.Split(&#39;,&#39;);
 
    foreach (var p in validates)
 
    {
 
      string value = filterContext.HttpContext.Request[p];
 
      if(ValidateEmpty)
 
      {
 
        if (string.IsNullOrEmpty(value))
 
        {
 
          base.HandleError(filterContext);
 
        }
 
      }
 
      else
 
      {
 
        if (value == null)
 
        {
 
          base.HandleError(filterContext);
 
        }
 
      }
 
    }
 
  }
 
  
 
  public void OnActionExecuted(ActionExecutedContext filterContext)
 
  {
 
  
 
  }
 
}

ValidateRegexAttribute:

public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter
 
{
 
  private Regex _regex;
 
  
 
  public string Pattern { get; set; }
 
  
 
  public string Parameter { get; set; }
 
  
 
  public ValidateRegexAttribute(string parameter, string pattern)
 
  {
 
    _regex = new Regex(pattern);
 
    Parameter = parameter;
 
  }
 
  
 
  public void OnActionExecuting(ActionExecutingContext filterContext)
 
  {
 
    string[] validates = Parameter.Split(&#39;,&#39;);
 
    foreach (var p in validates)
 
    {
 
      string value = filterContext.HttpContext.Request[p];
 
      if (!_regex.IsMatch(value))
 
      {
 
        base.HandleError(filterContext);
 
      }
 
    }
 
  }
 
  public void OnActionExecuted(ActionExecutedContext filterContext)
 
  {
 
  }
 
}

更多的验证同理实现即可。

这样，我们上面的写法就变成：

[ValidateNull("userName,password")]
 
public ActionResult Register(string userName, string password)

综合看起来，还是ok的，与上面的DataAnnotation可以权衡选择使用，这里我们可以扩展更多有用的信息，如错误描述等等。

总结

当然每种方式都有有缺点，这个是视具体情况选择了。一般参数太多建议就用一个对象包装了。

更多ASP.NET MVC后台参数验证的几种方式相关文章请关注PHP中文网！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

c＃和.net：了解两者之间的关系Apr 17, 2025 am 12:07 AM

C#和.NET的关系是密不可分的，但它们不是一回事。C#是一门编程语言，而.NET是一个开发平台。C#用于编写代码，编译成.NET的中间语言（IL），由.NET运行时（CLR）执行。

c＃.net的持续相关性：查看当前用法Apr 16, 2025 am 12:07 AM

C#.NET依然重要，因为它提供了强大的工具和库，支持多种应用开发。1)C#结合.NET框架，使开发高效便捷。2)C#的类型安全和垃圾回收机制增强了其优势。3).NET提供跨平台运行环境和丰富的API，提升了开发灵活性。

从网络到桌面：C＃.NET的多功能性Apr 15, 2025 am 12:07 AM

C#.NETisversatileforbothwebanddesktopdevelopment.1)Forweb,useASP.NETfordynamicapplications.2)Fordesktop,employWindowsFormsorWPFforrichinterfaces.3)UseXamarinforcross-platformdevelopment,enablingcodesharingacrossWindows,macOS,Linux,andmobiledevices.

C＃.NET与未来：适应新技术Apr 14, 2025 am 12:06 AM

C#和.NET通过不断的更新和优化，适应了新兴技术的需求。1）C#9.0和.NET5引入了记录类型和性能优化。2）.NETCore增强了云原生和容器化支持。3）ASP.NETCore与现代Web技术集成。4）ML.NET支持机器学习和人工智能。5）异步编程和最佳实践提升了性能。

c＃.net适合您吗？评估其适用性Apr 13, 2025 am 12:03 AM

c＃.netissutableforenterprise-levelapplications withemofrosoftecosystemdueToItsStrongTyping，richlibraries，androbustperraries，androbustperformance.however，itmaynotbeidealfoross-platement forment forment forment forvepentment offependment dovelopment toveloperment toveloperment whenrawspeedsportor whenrawspeedseedpolitical politionalitable，

.NET中的C＃代码：探索编程过程Apr 12, 2025 am 12:02 AM

C#在.NET中的编程过程包括以下步骤：1)编写C#代码，2)编译为中间语言（IL），3)由.NET运行时（CLR）执行。C#在.NET中的优势在于其现代化语法、强大的类型系统和与.NET框架的紧密集成，适用于从桌面应用到Web服务的各种开发场景。

C＃.NET：探索核心概念和编程基础知识Apr 10, 2025 am 09:32 AM

C#是一种现代、面向对象的编程语言，由微软开发并作为.NET框架的一部分。1.C#支持面向对象编程（OOP），包括封装、继承和多态。2.C#中的异步编程通过async和await关键字实现，提高应用的响应性。3.使用LINQ可以简洁地处理数据集合。4.常见错误包括空引用异常和索引超出范围异常，调试技巧包括使用调试器和异常处理。5.性能优化包括使用StringBuilder和避免不必要的装箱和拆箱。