程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> .NET網頁編程 >> 關於.NET >> 後台參數驗證的幾種方式,後台參數驗證

後台參數驗證的幾種方式,後台參數驗證

編輯:關於.NET

後台參數驗證的幾種方式,後台參數驗證


前言

  參數驗證是一個常見的問題,無論是前端還是後台,都需對用戶輸入進行驗證,以此來保證系統數據的正確性。對於web來說,有些人可能理所當然的想在前端驗證就行了,但這樣是非常錯誤的做法,前端代碼對於用戶來說是透明的,稍微有點技術的人就可以繞過這個驗證,直接提交數據到後台。無論是前端網頁提交的接口,還是提供給外部的接口,參數驗證隨處可見,也是必不可少的。總之,一切用戶的輸入都是不可信的。

  參數驗證有許多種方式進行,下面以mvc為例,列舉幾種常見的驗證方式,假設有一個用戶注冊方法

  [HttpPost]
  public ActionResult Register(RegisterInfo info)

一、通過 if-if 判斷  

            if(string.IsNullOrEmpty(info.UserName))
            {
                return FailJson("用戶名不能為空");
            }
            if(string.IsNullOrEmpty(info.Password))
            {
                return FailJson("用戶密碼不能為空")
            }

  逐個對參數進行驗證,這種方式最粗暴,但當時在WebForm下也確實這麼用過。對於參數少的方法還好,如果參數一多,就要寫n多的if-if,相當繁瑣,更重要的是這部分判斷沒法重用,另一個方法又是這樣判斷。

二、通過 DataAnnotation

  mvc提供了DataAnnotation對Action的Model進行驗證,說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性,例如RangeAttribute,RequiredAttribute等等。ValidationAttribute 的虛方法IsValid 就是用來判斷被標記的對象是否符合當前規則。asp.net mvc在進行model binding的時候,會通過反射,獲取標記的ValidationAttribute,然後調用 IsValid 來判斷當前參數是否符合規則,如果驗證不通過,還會收集錯誤信息,這也是為什麼我們可以在Action裡通過ModelState.IsValid判斷Model驗證是否通過,通過ModelState來獲取驗證失敗信息的原因。例如上面的例子:

    public class RegisterInfo
    {
        [Required(ErrorMessage="用戶名不能為空")]
        public string UserName{get;set;}

        [Required(ErrorMessage="密碼不能為空")]
        public string Password { get; set; }
    }

  事實上在webform上也可以參照mvc的實現原理實現這個過程。這種方式的優點的實現起來非常優雅,而且靈活,如果有多個Action共用一個Model參數的話,只要在一個地方寫就夠了,關鍵是它讓我們的代碼看起來非常簡潔。

  不過這種方式也有缺點,通常我們的項目可能會有很多的接口,比如幾十個接口,有些接口只有兩三個參數,為每個接口定義一個類包裝參數有點奢侈,而且實際上為這個類命名也是非常頭疼的一件事。

三、DataAnnotation 也可以標記在參數上

  通過驗證特性的AttributeUsage可以看到,它不只可以標記在屬性和字段上,也可以標記在參數上。也就是說,我們也可以這樣寫:

public ActionResult Register([Required(ErrorMessage="用戶名不能為空")]string userName, [Required(ErrorMessage="密碼不能為空")]string password)

  這樣寫也是ok的,不過很明顯,這樣寫很方法參數會難看,特別是在有多個參數,或者參數有多種驗證規則的時候。

四、自定義ValidateAttribute

  我們知道可以利用過濾器在mvc的Action執行前做一些處理,例如身份驗證,授權處理的。同理,這裡也可以用來對參數進行驗證。FilterAttribute是一個常見的過濾器,它允許我們在Action執行前後做一些操作,這裡我們要做的就是在Action前驗證參數,如果驗證不通過,就不再執行下去了。

  定義一個BaseValidateAttribute基類如下:

    public class BaseValidateAttribute : FilterAttribute
    {
        protected virtual void HandleError(ActionExecutingContext context)
        {
            for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
            {
                ValidateHandlerProviders.Handlers[i - 1].Handle(context);
                if (context.Result != null)
                {
                    break;
                }
            }
        }
    }

  HandleError 用於在驗證失敗時處理結果,這裡ValidateHandlerProviders提過IValidateHandler用於處理結果,它可以在外部進行注冊。IValidateHandler定義如下:

    public interface IValidateHandler
    {
        void Handle(ActionExecutingContext context);
    }

  ValidateHandlerProviders定義如下,它有一個默認的處理器。

    public class ValidateHandlerProviders
    {
        public static List<IValidateHandler> Handlers { get; private set; }

        static ValidateHandlerProviders()
        {
            Handlers = new List<IValidateHandler>()
            {
                new DefaultValidateHandler()
            };
        }

        public static void Register(IValidateHandler handler)
        {
            Handlers.Add(handler);
        }
    }  

  這樣做的目的是,由於我們可能有很多具體的ValidateAttribute,可以把這模塊獨立開來,而把最終的處理過程交給外部決定,例如我們在項目中可以定義一個處理器:

    public class StanderValidateHandler : IValidateHandler
    {
        public void Handle(ActionExecutingContext filterContext)
        {
            filterContext.Result = new StanderJsonResult()
            {
                Result = FastStatnderResult.Fail("參數驗證失敗", 555)
            };
        }
    }

  然後再應用程序啟動時注冊:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());

  舉個兩個栗子:

  ValidateNullttribute:

    public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
    {
        public bool ValidateEmpty { get; set; }

        public string Parameter { get; set; }

        public ValidateNullAttribute(string parameter, bool validateEmpty = false)
        {
            ValidateEmpty = validateEmpty;
            Parameter = parameter;
        }

        public void OnActionExecuting(ActionExecutingContext filterContext)
        {
            string[] validates = Parameter.Split(',');
            foreach (var p in validates)
            {
                string value = filterContext.HttpContext.Request[p];
                if(ValidateEmpty)
                {
                    if (string.IsNullOrEmpty(value))
                    {
                        base.HandleError(filterContext);
                    }
                }
                else
                {
                    if (value == null)
                    {
                        base.HandleError(filterContext);
                    }
                }
            }
        }

        public void OnActionExecuted(ActionExecutedContext filterContext)
        {

        }
    }

  ValidateRegexAttribute:

    public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter
    {
        private Regex _regex;

        public string Pattern { get; set; }

        public string Parameter { get; set; }

        public ValidateRegexAttribute(string parameter, string pattern)
        {
            _regex = new Regex(pattern);
            Parameter = parameter;
        }

        public void OnActionExecuting(ActionExecutingContext filterContext)
        {
            string[] validates = Parameter.Split(',');
            foreach (var p in validates)
            {
                string value = filterContext.HttpContext.Request[p];
                if (!_regex.IsMatch(value))
                {
                    base.HandleError(filterContext);
                }
            }
        }

        public void OnActionExecuted(ActionExecutedContext filterContext)
        {

        }
    }

  更多的驗證同理實現即可。

  這樣,我們上面的寫法就變成:

        [ValidateNull("userName,password")]
        public ActionResult Register(string userName, string password)

  綜合看起來,還是ok的,與上面的DataAnnotation可以權衡選擇使用,這裡我們可以擴展更多有用的信息,如錯誤描述等等。

總結

  當然每種方式都有有缺點,這個是視具體情況選擇了。一般參數太多建議就用一個對象包裝了。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved