前言
參數(shù)驗證是一個常見的問題,無論是前端還是后臺,都需對用戶輸入進行驗證���,以此來保證系統(tǒng)數(shù)據(jù)的正確性。對于web來說,有些人可能理所當(dāng)然的想在前端驗證就行了,但這樣是非常錯誤的做法�,前端代碼對于用戶來說是透明的��,稍微有點技術(shù)的人就可以繞過這個驗證,直接提交數(shù)據(jù)到后臺。無論是前端網(wǎng)頁提交的接口�����,還是提供給外部的接口���,參數(shù)驗證隨處可見����,也是必不可少的。總之���,一切用戶的輸入都是不可信的。
參數(shù)驗證有許多種方式進行,下面以mvc為例�,列舉幾種常見的驗證方式�,假設(shè)有一個用戶注冊方法
[HttpPost]
public ActionResult Register(RegisterInfo info)
一���、通過 if-if 判斷
if(string.IsNullOrEmpty(info.UserName))
{
return FailJson("用戶名不能為空");
}
if(string.IsNullOrEmpty(info.Password))
{
return FailJson("用戶密碼不能為空")
}
逐個對參數(shù)進行驗證����,這種方式最粗暴,但當(dāng)時在WebForm下也確實這么用過。對于參數(shù)少的方法還好,如果參數(shù)一多�,就要寫n多的if-if�����,相當(dāng)繁瑣,更重要的是這部分判斷沒法重用�����,另一個方法又是這樣判斷�����。
二、通過 DataAnnotation
mvc提供了DataAnnotation對Action的Model進行驗證���,說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性,例如RangeAttribute,RequiredAttribute等等�����。ValidationAttribute 的虛方法IsValid 就是用來判斷被標(biāo)記的對象是否符合當(dāng)前規(guī)則�。asp.net mvc在進行model binding的時候,會通過反射����,獲取標(biāo)記的ValidationAttribute����,然后調(diào)用 IsValid 來判斷當(dāng)前參數(shù)是否符合規(guī)則���,如果驗證不通過��,還會收集錯誤信息�����,這也是為什么我們可以在Action里通過ModelState.IsValid判斷Model驗證是否通過����,通過ModelState來獲取驗證失敗信息的原因�。例如上面的例子:
public class RegisterInfo
{
[Required(ErrorMessage="用戶名不能為空")]
public string UserName{get;set;}
[Required(ErrorMessage="密碼不能為空")]
public string Password { get; set; }
}
事實上在webform上也可以參照mvc的實現(xiàn)原理實現(xiàn)這個過程����。這種方式的優(yōu)點的實現(xiàn)起來非常優(yōu)雅,而且靈活��,如果有多個Action共用一個Model參數(shù)的話�,只要在一個地方寫就夠了,關(guān)鍵是它讓我們的代碼看起來非常簡潔�。
不過這種方式也有缺點�����,通常我們的項目可能會有很多的接口,比如幾十個接口���,有些接口只有兩三個參數(shù),為每個接口定義一個類包裝參數(shù)有點奢侈��,而且實際上為這個類命名也是非常頭疼的一件事�。
三、DataAnnotation 也可以標(biāo)記在參數(shù)上
通過驗證特性的AttributeUsage可以看到�,它不只可以標(biāo)記在屬性和字段上��,也可以標(biāo)記在參數(shù)上。也就是說�,我們也可以這樣寫:
public ActionResult Register([Required(ErrorMessage="用戶名不能為空")]string userName, [Required(ErrorMessage="密碼不能為空")]string password)
這樣寫也是ok的��,不過很明顯,這樣寫很方法參數(shù)會難看�����,特別是在有多個參數(shù)�����,或者參數(shù)有多種驗證規(guī)則的時候����。
四�、自定義ValidateAttribute
我們知道可以利用過濾器在mvc的Action執(zhí)行前做一些處理���,例如身份驗證��,授權(quán)處理的���。同理���,這里也可以用來對參數(shù)進行驗證�。FilterAttribute是一個常見的過濾器���,它允許我們在Action執(zhí)行前后做一些操作���,這里我們要做的就是在Action前驗證參數(shù)�����,如果驗證不通過���,就不再執(zhí)行下去了���。
定義一個BaseValidateAttribute基類如下:
public class BaseValidateAttribute : FilterAttribute
{
protected virtual void HandleError(ActionExecutingContext context)
{
for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
{
ValidateHandlerProviders.Handlers[i - 1].Handle(context);
if (context.Result != null)
{
break;
}
}
}
}
HandleError 用于在驗證失敗時處理結(jié)果��,這里ValidateHandlerProviders提過IValidateHandler用于處理結(jié)果,它可以在外部進行注冊�����。IValidateHandler定義如下:
public interface IValidateHandler
{
void Handle(ActionExecutingContext context);
}
ValidateHandlerProviders定義如下,它有一個默認的處理器。
public class ValidateHandlerProviders
{
public static List<IValidateHandler> Handlers { get; private set; }
static ValidateHandlerProviders()
{
Handlers = new List<IValidateHandler>()
{
new DefaultValidateHandler()
};
}
public static void Register(IValidateHandler handler)
{
Handlers.Add(handler);
}
}
這樣做的目的是����,由于我們可能有很多具體的ValidateAttribute,可以把這模塊獨立開來,而把最終的處理過程交給外部決定,例如我們在項目中可以定義一個處理器:
public class StanderValidateHandler : IValidateHandler
{
public void Handle(ActionExecutingContext filterContext)
{
filterContext.Result = new StanderJsonResult()
{
Result = FastStatnderResult.Fail("參數(shù)驗證失敗", 555)
};
}
}
然后再應(yīng)用程序啟動時注冊:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());
舉個兩個栗子:
ValidateNullttribute:
public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
{
public bool ValidateEmpty { get; set; }
public string Parameter { get; set; }
public ValidateNullAttribute(string parameter, bool validateEmpty = false)
{
ValidateEmpty = validateEmpty;
Parameter = parameter;
}
public void OnActionExecuting(ActionExecutingContext filterContext)
{
string[] validates = Parameter.Split(',');
foreach (var p in validates)
{
string value = filterContext.HttpContext.Request[p];
if(ValidateEmpty)
{
if (string.IsNullOrEmpty(value))
{
base.HandleError(filterContext);
}
}
else
{
if (value == null)
{
base.HandleError(filterContext);
}
}
}
}
public void OnActionExecuted(ActionExecutedContext filterContext)
{
}
}
ValidateRegexAttribute:
public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter
{
private Regex _regex;
public string Pattern { get; set; }
public string Parameter { get; set; }
public ValidateRegexAttribute(string parameter, string pattern)
{
_regex = new Regex(pattern);
Parameter = parameter;
}
public void OnActionExecuting(ActionExecutingContext filterContext)
{
string[] validates = Parameter.Split(',');
foreach (var p in validates)
{
string value = filterContext.HttpContext.Request[p];
if (!_regex.IsMatch(value))
{
base.HandleError(filterContext);
}
}
}
public void OnActionExecuted(ActionExecutedContext filterContext)
{
}
}
更多的驗證同理實現(xiàn)即可�。
這樣��,我們上面的寫法就變成:
[ValidateNull("userName,password")]
public ActionResult Register(string userName, string password)
綜合看起來,還是ok的,與上面的DataAnnotation可以權(quán)衡選擇使用����,這里我們可以擴展更多有用的信息����,如錯誤描述等等���。
總結(jié)
當(dāng)然每種方式都有有缺點�,這個是視具體情況選擇了。一般參數(shù)太多建議就用一個對象包裝了。
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識���,若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
