我如何学习验证用户输入是否正确？

Question

我不确定这里的术语，所以让我具体说明一下，当我说“验证”用户输入时，我的意思是提防声称 2021 年 2 月 30 日为生日的用户，而不是防范注入攻击。

是否有正确执行此操作的指南，或者列出了人们常见的错误操作方式？在输入之前确保输入正确的策略（例如，从日历中选择而不是在文本字段中输入）？

请注意，我对特定于语言的答案（例如 ASP.NET 验证控件）不感兴趣，而是对一般策略和原则感兴趣。

Answer 1

输入字段越自由，您需要检查的内容就越多。某些语言可能使您可以轻松验证文本字段是否为有效日期；其他人可能不会。

不过，有些用户会讨厌点击日历控件或三个下拉菜单来输入他们的生日。他们可能更喜欢直接输入。这是一种权衡。

Answer 2

您正在寻找的术语是输入验证。

正如您所指出的，如果您使用无法输入无效数据的控件，您可以帮助客户端，但您仍然需要在服务器上实施适当的验证。

我的意思是提防声称 2021 年 2 月 30 日为生日的用户，而不是防范注入攻击

为什么不两者都做呢？您想要让自己遭受注入攻击有什么具体原因吗？

假设用户向服务器发送一个字符串，要么是他们自己输入的字符串，要么是由您放置在页面上的控件发送的字符串。第一部分是找到用于将字符串解析为类型化数据的库函数。在您的示例中，您可以使用 DateTime.TryParse 将字符串解析为日期。对于给定的示例，这将失败，因为给定的日期无效。如果您找不到要解析的库函数，您可以尝试自己编写一个解析器。对于简单的验证，您可以将其表达为正则表达式。对于更复杂的输入，您可能需要编写一些执行验证的代码，如果输入语言特别复杂，甚至可能使用解析器库来帮助您。

第二部分是实施特定于您的需求的业务验证规则。例如，您知道出生日期必须是过去的日期，但不能太远。这需要一些判断，因为使用您网站的人并非不可能有 100 岁，但他们不太可能有 200 岁，因为据信没有人这么老。

Answer 3

我建议使用一种称为“策略”的设计模式。这是“四人帮”（简称“gof”）创造的模式之一。您可能听说过此模式的一些副本和变体，例如“控制反转”和“依赖注入”。

无论如何，对于面向对象的语言，您要做的就是创建一个名为“validator”的类，它用名为“validate”的方法验证数据。您必须使 validate 接受某种相关形式的输入，或者对其进行重载，以便对不同类型的数据具有不同的方法。或者，如果您可以访问某种形式的泛型，则可以使用它。

接下来，此类的构造函数应采用“validatorstrategy”对象作为参数。然后实际的验证将通过策略对象传递。

为了更进一步，您可以创建某种输入表单生成器系统，在其中使用您自己的类型名称指定输入字段。然后，这些将根据您的前端语言（html/android xml/java swing）生成不同的输入字段，并且它们还将影响验证输入的方式。

嗯..我想知道如何解决两个密码输入字段需要具有完全相同的内容来验证的问题。这在表单生成系统中看起来如何？也许会有一种名为“password”的输入类型，它会生成一个不显示输入且没有验证的输入字段，而另一种名为“passwordsetter”的类型会生成两个不显示输入的输入字段，并具有比较两个字段的数据的验证策略。尽管 D：创建该验证策略可能非常棘手：