ASP.NET MVC後台參數驗證的幾種方式

最後更新：2016-12-24 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

前言

參數驗證是一個常見的問題，無論是前端還是後台，都需對使用者輸入進行驗證，以此來保證系統資料的正確性。對於web來說，有些人可能理所當然的想在前端驗證就行了，但這樣是非常錯誤的做法，前端代碼對於使用者來說是透明的，稍微有點技術的人就可以繞過這個驗證，直接提交資料到後台。無論是前端網頁提交的介面，還是提供給外部的介面，參數驗證隨處可見，也是必不可少的。總之，一切使用者的輸入都是不可信的。

參數驗證有許多種方式進行，下面以mvc為例，列舉幾種常見的驗證方式，假設有一個使用者註冊方法

[HttpPost]public ActionResult Register(RegisterInfo info)

一、通過 if-if 判斷　　

if(string.IsNullOrEmpty(info.UserName)) {   return FailJson("使用者名稱不可為空"); } if(string.IsNullOrEmpty(info.Password)) {   return FailJson("使用者密碼不可為空") }

逐個對參數進行驗證，這種方式最粗暴，但當時在WebForm下也確實這麼用過。對於參數少的方法還好，如果參數一多，就要寫n多的if-if，相當繁瑣，更重要的是這部分判斷沒法重用，另一個方法又是這樣判斷。

二、通過 DataAnnotation

mvc提供了DataAnnotation對Action的Model進行驗證，說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性，例如RangeAttribute,RequiredAttribute等等。ValidationAttribute 的虛方法IsValid 就是用來判斷被標記的對象是否符合當前規則。asp.net mvc在進行model binding的時候，會通過反射，擷取標記的ValidationAttribute，然後調用 IsValid 來判斷當前參數是否符合規則，如果驗證不通過，還會收集錯誤資訊，這也是為什麼我們可以在Action裡通過ModelState.IsValid判斷Model驗證是否通過，通過ModelState來擷取驗證失敗資訊的原因。例如上面的例子：

public class RegisterInfo {   [Required(ErrorMessage="使用者名稱不可為空")]   public string UserName{get;set;}  [Required(ErrorMessage="密碼不可為空")]   public string Password { get; set; } }

事實上在webform上也可以參照mvc的實現原理實現這個過程。這種方式的優點的實現起來非常優雅，而且靈活，如果有多個Action共用一個Model參數的話，只要在一個地方寫就夠了，關鍵是它讓我們的代碼看起來非常簡潔。

不過這種方式也有缺點，通常我們的項目可能會有很多的介面，比如幾十個介面，有些介面只有兩三個參數，為每個介面定義一個類封裝參數有點奢侈，而且實際上為這個類命名也是非常頭疼的一件事。

三、DataAnnotation 也可以標記在參數上

通過驗證特性的AttributeUsage可以看到，它不只可以標記在屬性和欄位上，也可以標記在參數上。也就是說，我們也可以這樣寫：

public ActionResult Register([Required(ErrorMessage="使用者名稱不可為空")]string userName, [Required(ErrorMessage="密碼不可為空")]string password)

這樣寫也是ok的，不過很明顯，這樣寫很方法參數會難看，特別是在有多個參數，或者參數有多種驗證規則的時候。

四、自訂ValidateAttribute

我們知道可以利用過濾器在mvc的Action執行前做一些處理，例如身分識別驗證，授權處理的。同理，這裡也可以用來對參數進行驗證。FilterAttribute是一個常見的過濾器，它允許我們在Action執行前後做一些操作，這裡我們要做的就是在Action前驗證參數，如果驗證不通過，就不再執行下去了。

定義一個BaseValidateAttribute基類如下：

public class BaseValidateAttribute : FilterAttribute {   protected virtual void HandleError(ActionExecutingContext context)   {     for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)     {       ValidateHandlerProviders.Handlers[i - 1].Handle(context);       if (context.Result != null)       {         break;       }     }   } }

HandleError 用於在驗證失敗時處理結果，這裡ValidateHandlerProviders提過IValidateHandler用於處理結果，它可以在外部進行註冊。IValidateHandler定義如下：

public interface IValidateHandler {   void Handle(ActionExecutingContext context); }

ValidateHandlerProviders定義如下，它有一個預設的處理器。

public class ValidateHandlerProviders {   public static List<IValidateHandler> Handlers { get; private set; }      static ValidateHandlerProviders()   {     Handlers = new List<IValidateHandler>()     {       new DefaultValidateHandler()     };   }      public static void Register(IValidateHandler handler)   {     Handlers.Add(handler);   } }

這樣做的目的是，由於我們可能有很多具體的ValidateAttribute，可以把這模組獨立開來，而把最終的處理過程交給外部決定，例如我們在項目中可以定義一個處理器：

public class StanderValidateHandler : IValidateHandler {   public void Handle(ActionExecutingContext filterContext)   {     filterContext.Result = new StanderJsonResult()     {       Result = FastStatnderResult.Fail("參數驗證失敗", 555)     };   } }

然後再應用程式啟動時註冊：ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());

舉個兩個栗子：

ValidateNullttribute:

public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter {   public bool ValidateEmpty { get; set; }      public string Parameter { get; set; }      public ValidateNullAttribute(string parameter, bool validateEmpty = false)   {     ValidateEmpty = validateEmpty;     Parameter = parameter;   }      public void OnActionExecuting(ActionExecutingContext filterContext)   {     string[] validates = Parameter.Split(',');     foreach (var p in validates)     {       string value = filterContext.HttpContext.Request[p];       if(ValidateEmpty)       {         if (string.IsNullOrEmpty(value))         {           base.HandleError(filterContext);         }       }       else       {         if (value == null)         {           base.HandleError(filterContext);         }       }     }   }      public void OnActionExecuted(ActionExecutedContext filterContext)   {      } }

ValidateRegexAttribute:

public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter {   private Regex _regex;      public string Pattern { get; set; }      public string Parameter { get; set; }      public ValidateRegexAttribute(string parameter, string pattern)   {     _regex = new Regex(pattern);     Parameter = parameter;   }      public void OnActionExecuting(ActionExecutingContext filterContext)   {     string[] validates = Parameter.Split(',');     foreach (var p in validates)     {       string value = filterContext.HttpContext.Request[p];       if (!_regex.IsMatch(value))       {         base.HandleError(filterContext);       }     }   }   public void OnActionExecuted(ActionExecutedContext filterContext)   {   } }

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More