纵深防御与 DRY 的比较

Question

“纵深防御”原则指出，应该在多个地方强制执行约束，这样，如果一条数据绕过或漏过一层，就会被下一层捕获。一个很好的例子是在 Web 应用程序中 - 您将验证放入客户端 JavaScript、服务器端代码（PHP/Ruby/ASP/其他）中，然后将这些规则放入数据库中（例如外键约束）。这样，任何通过 JavaScript 验证的数据都会被服务器端捕获。任何通过服务器验证的数据都会受到数据库约束的捕获。

然而，这似乎违反了 DRY（Don’t Repeat Yourself）原则。这里有三个地方重复相同的验证规则。我知道有多种方法可以生成客户端 JavaScript，以便强制执行服务器端验证。我的问题是，如何整合数据库约束和服务器端代码？有没有办法生成代码以自动强制执行数据库约束？

Answer 1

我们的做法是让单个模块成为“安全规则”的所有者，然后为其创建一个 AJAX 接口，以便服务器端代码直接调用它，然后前端 UI 组件调用该 AJAX 接口，但它们都在与同一个模块通信。通过这种方式，访问规则仅存在于一个位置（安全模块），并且您仍然可以在任何地方强制执行这些规则。这样做的另一个好处是可以将规则保留在客户端可下载代码之外。

Answer 2

DRY（不要重复自己）是一种源代码最佳实践原则，基本上意味着：不要重复代码，因为如果这样做，就会降低可维护性并增加出现错误的机会。

在数据库中强制引用完整性并不是真正违反 DRY，因为：

• 数据库不是源代码的一部分，
• 独立存在，
• 除了客户端视图之外，还可以通过许多其他方式进行访问和修改。例如查询和报告引擎