什么时候应该进行数据验证？

Question

例如，如果我想检查输入是否仅包含字母数字字符并且长度是否超过 10 个字符。我应该只在服务器端检查它吗？或者服务器端和数据库（查询）本身？或者只是兴致勃勃地检查客户端、服务器端和数据库端？

只是想找到检查的正确平衡点。

Answer 1

在客户端和服务器上进行验证是一个好主意，但这是不恰当的。在客户端验证，但在后端处理数据时不要盲目相信结果。这可能会使您的应用程序容易受到恶意攻击，尤其是在驱动关键业务流程的表单中。

首先在客户端验证数据，然后在后端验证客户端已视为有效的内容，从而保护自己，从而提高用户体验。

Answer 2

永远不需要在服务器端和数据库中执行此操作。是否在客户端检查它取决于您的环境以及应用程序的功能。在 Web 应用程序中，如果您运行大量客户端脚本来执行各种其他操作，那么客户端验证（如果没有必要）是理想的选择。重要的是，您需要在服务器端执行所有验证，即使您在客户端执行其中一些验证，因为如果您愿意，绕过客户端验证相当容易。

即使您没有做很多客户端古怪的事情，客户端验证也是非常有益的，因为它减少了对服务器的请求，这可以极大地提高性能（感知的和实际的）。

在数据库中进行验证是错误的地方，因为验证通常由业务规则驱动，并且数据层不应该是业务规则的所有者。

Answer 3

始终验证服务器端。如果你想做动态 jQuery-ish 表单处理错误弹出窗口等，那么另外做客户端会很有帮助。不确定“在查询中”是什么意思——您的意思是在模式中吗？

Answer 4

老实说，这是偏好，但也有好处。如果您处于高流量环境中，您可能不想在服务器端执行所有验证，因为进入服务器的流量越少越好。

因此，一部分是客户端，一部分是服务器端。

易于验证客户端的项目可能是：

• 输入长度
• 输入类型（字符串、整数、日期、布尔）
• 字段驱动的选择限制

取决于您的数据层是什么样的... 如果您使用程序，则应该有基本数据内置类型验证。