abstract：本篇文章主要介紹了ASP.NET MVC后臺(tái)參數(shù)驗(yàn)證的幾種方式前言參數(shù)驗(yàn)證是一個(gè)常見的問題，無論是前端還是后臺(tái)，都需對(duì)用戶輸入進(jìn)行驗(yàn)證，以此來保證系統(tǒng)數(shù)據(jù)的正確性。對(duì)于web來說，有些人可能理所當(dāng)然的想在前端驗(yàn)證就行了，但這樣是非常錯(cuò)誤的做法，前端代碼對(duì)于用戶來說是透明的，稍微有點(diǎn)技術(shù)的人就可以繞過這個(gè)驗(yàn)證，直接提交數(shù)據(jù)到后臺(tái)。無論是前端網(wǎng)頁(yè)提交的接口，還是提供給外部的接口，參數(shù)驗(yàn)證隨處可見，也是

本篇文章主要介紹了ASP.NET MVC后臺(tái)參數(shù)驗(yàn)證的幾種方式

前言

參數(shù)驗(yàn)證是一個(gè)常見的問題，無論是前端還是后臺(tái)，都需對(duì)用戶輸入進(jìn)行驗(yàn)證，以此來保證系統(tǒng)數(shù)據(jù)的正確性。對(duì)于web來說，有些人可能理所當(dāng)然的想在前端驗(yàn)證就行了，但這樣是非常錯(cuò)誤的做法，前端代碼對(duì)于用戶來說是透明的，稍微有點(diǎn)技術(shù)的人就可以繞過這個(gè)驗(yàn)證，直接提交數(shù)據(jù)到后臺(tái)。無論是前端網(wǎng)頁(yè)提交的接口，還是提供給外部的接口，參數(shù)驗(yàn)證隨處可見，也是必不可少的?？傊?，一切用戶的輸入都是不可信的。

參數(shù)驗(yàn)證有許多種方式進(jìn)行，下面以mvc為例，列舉幾種常見的驗(yàn)證方式，假設(shè)有一個(gè)用戶注冊(cè)方法

[HttpPost]
public ActionResult Register(RegisterInfo info)

一、通過 if-if 判斷　　

if(string.IsNullOrEmpty(info.UserName)) 
{ 
  return FailJson("用戶名不能為空"); 
} 
if(string.IsNullOrEmpty(info.Password)) 
{ 
  return FailJson("用戶密碼不能為空") 
}

逐個(gè)對(duì)參數(shù)進(jìn)行驗(yàn)證，這種方式最粗暴，但當(dāng)時(shí)在WebForm下也確實(shí)這么用過。對(duì)于參數(shù)少的方法還好，如果參數(shù)一多，就要寫n多的if-if，相當(dāng)繁瑣，更重要的是這部分判斷沒法重用，另一個(gè)方法又是這樣判斷。

二、通過 DataAnnotation

mvc提供了DataAnnotation對(duì)Action的Model進(jìn)行驗(yàn)證，說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性，例如RangeAttribute,RequiredAttribute等等。ValidationAttribute 的虛方法IsValid 就是用來判斷被標(biāo)記的對(duì)象是否符合當(dāng)前規(guī)則。asp.net mvc在進(jìn)行model binding的時(shí)候，會(huì)通過反射，獲取標(biāo)記的ValidationAttribute，然后調(diào)用 IsValid 來判斷當(dāng)前參數(shù)是否符合規(guī)則，如果驗(yàn)證不通過，還會(huì)收集錯(cuò)誤信息，這也是為什么我們可以在Action里通過ModelState.IsValid判斷Model驗(yàn)證是否通過，通過ModelState來獲取驗(yàn)證失敗信息的原因。例如上面的例子：

public class RegisterInfo 
{ 
  [Required(ErrorMessage="用戶名不能為空")] 
  public string UserName{get;set;}
 [Required(ErrorMessage="密碼不能為空")] 
  public string Password { get; set; } 
}

事實(shí)上在webform上也可以參照mvc的實(shí)現(xiàn)原理實(shí)現(xiàn)這個(gè)過程。這種方式的優(yōu)點(diǎn)的實(shí)現(xiàn)起來非常優(yōu)雅，而且靈活，如果有多個(gè)Action共用一個(gè)Model參數(shù)的話，只要在一個(gè)地方寫就夠了，關(guān)鍵是它讓我們的代碼看起來非常簡(jiǎn)潔。

不過這種方式也有缺點(diǎn)，通常我們的項(xiàng)目可能會(huì)有很多的接口，比如幾十個(gè)接口，有些接口只有兩三個(gè)參數(shù)，為每個(gè)接口定義一個(gè)類包裝參數(shù)有點(diǎn)奢侈，而且實(shí)際上為這個(gè)類命名也是非常頭疼的一件事。

三、DataAnnotation 也可以標(biāo)記在參數(shù)上

通過驗(yàn)證特性的AttributeUsage可以看到，它不只可以標(biāo)記在屬性和字段上，也可以標(biāo)記在參數(shù)上。也就是說，我們也可以這樣寫：

public ActionResult Register([Required(ErrorMessage="用戶名不能為空")]string userName, [Required(ErrorMessage="密碼不能為空")]string password)

這樣寫也是ok的，不過很明顯，這樣寫很方法參數(shù)會(huì)難看，特別是在有多個(gè)參數(shù)，或者參數(shù)有多種驗(yàn)證規(guī)則的時(shí)候。

四、自定義ValidateAttribute

我們知道可以利用過濾器在mvc的Action執(zhí)行前做一些處理，例如身份驗(yàn)證，授權(quán)處理的。同理，這里也可以用來對(duì)參數(shù)進(jìn)行驗(yàn)證。FilterAttribute是一個(gè)常見的過濾器，它允許我們?cè)贏ction執(zhí)行前后做一些操作，這里我們要做的就是在Action前驗(yàn)證參數(shù)，如果驗(yàn)證不通過，就不再執(zhí)行下去了。

定義一個(gè)BaseValidateAttribute基類如下：

public class BaseValidateAttribute : FilterAttribute 
{ 
  protected virtual void HandleError(ActionExecutingContext context) 
  {
     for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--) 
    { 
      ValidateHandlerProviders.Handlers[i - 1].Handle(context); 
      if (context.Result != null) 
      { 
        break; 
      } 
    } 
  } 
}

HandleError 用于在驗(yàn)證失敗時(shí)處理結(jié)果，這里ValidateHandlerProviders提過IValidateHandler用于處理結(jié)果，它可以在外部進(jìn)行注冊(cè)。IValidateHandler定義如下：

public interface IValidateHandler 
{ 
  void Handle(ActionExecutingContext context); 
}

ValidateHandlerProviders定義如下，它有一個(gè)默認(rèn)的處理器。

public class ValidateHandlerProviders 
{ 
  public static List<IValidateHandler> Handlers { get; private set; }  
  static ValidateHandlerProviders() 
  { 
    Handlers = new List<IValidateHandler>() 
    { 
      new DefaultValidateHandler() 
    }; 
  }

  public static void Register(IValidateHandler handler) 
  { 
    Handlers.Add(handler); 
  } 
}　　

這樣做的目的是，由于我們可能有很多具體的ValidateAttribute，可以把這模塊獨(dú)立開來，而把最終的處理過程交給外部決定，例如我們?cè)陧?xiàng)目中可以定義一個(gè)處理器：

public class StanderValidateHandler : IValidateHandler 
{ 
  public void Handle(ActionExecutingContext filterContext) 
  { 
    filterContext.Result = new StanderJsonResult() 
    { 
      Result = FastStatnderResult.Fail("參數(shù)驗(yàn)證失敗", 555) 
    }; 
  }

然后再應(yīng)用程序啟動(dòng)時(shí)注冊(cè)：ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());

舉個(gè)兩個(gè)栗子：

ValidateNullttribute:

public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
 
{
 
  public bool ValidateEmpty { get; set; }
 
  
 
  public string Parameter { get; set; }
 
  
 
  public ValidateNullAttribute(string parameter, bool validateEmpty = false)
 
  {
 
    ValidateEmpty = validateEmpty;
 
    Parameter = parameter;
 
  }
 
  
 
  public void OnActionExecuting(ActionExecutingContext filterContext)
 
  {
 
    string[] validates = Parameter.Split(',');
 
    foreach (var p in validates)
 
    {
 
      string value = filterContext.HttpContext.Request[p];
 
      if(ValidateEmpty)
 
      {
 
        if (string.IsNullOrEmpty(value))
 
        {
 
          base.HandleError(filterContext);
 
        }
 
      }
 
      else
 
      {
 
        if (value == null)
 
        {
 
          base.HandleError(filterContext);
 
        }
 
      }
 
    }
 
  }
 
  
 
  public void OnActionExecuted(ActionExecutedContext filterContext)
 
  {
 
  
 
  }
 
}

ValidateRegexAttribute:

public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter
{ 
  private Regex _regex;  
  public string Pattern { get; set; }    
  public string Parameter { get; set; }  
  public ValidateRegexAttribute(string parameter, string pattern) 
  { 
    _regex = new Regex(pattern); 
    Parameter = parameter; 
  }
  
  public void OnActionExecuting(ActionExecutingContext filterContext) 
  { 
    string[] validates = Parameter.Split(','); 
    foreach (var p in validates) 
    { 
      string value = filterContext.HttpContext.Request[p]; 
      if (!_regex.IsMatch(value)) 
      { 
        base.HandleError(filterContext); 
      } 
    } 
  }
 
  public void OnActionExecuted(ActionExecutedContext filterContext) 
  { 
  } 
}

更多的驗(yàn)證同理實(shí)現(xiàn)即可。

這樣，我們上面的寫法就變成：

[ValidateNull("userName,password")] 
public ActionResult Register(string userName, string password)

綜合看起來，還是ok的，與上面的DataAnnotation可以權(quán)衡選擇使用，這里我們可以擴(kuò)展更多有用的信息，如錯(cuò)誤描述等等。

更多關(guān)于ASP.NET MVC后臺(tái)參數(shù)驗(yàn)證的幾種方式請(qǐng)關(guān)注PHP中文網(wǎng)（ipnx.cn）其他文章！