一、前言
1. 客户端校验
客户端校验就是通过 javascript 在数据收集页面进行初步过滤
<%@ page contentType="text/html; charset=GBK" language="java" errorPage="" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>请输入您的注册信息</title>
<meta name="website" content="http://www.crazyit.org" />
<script type="text/javascript">
//校验表单的JavaScript函数
function validate(form)
{
//定义错误字符串
var errStr = "";
//依次取出表单中的四个表单域的值
var username = trim(form.username.value);
var pass = trim(form.pass.value);
var age = trim(form.age.value);
var birth = trim(form.birth.value);
//判断用户名不能为空
if (username == "" || username == null)
{
errStr += "您的用户名必须输入";
}
//判断用户名必须是数字和字母,且长度必须为4到25之间
else if (!/^\w{4,25}$/.test(username))
{
errStr += "\n您的用户名必须是字母和数字,且长度在4到25之间";
}
//判断密码必须输入
if (pass == "" || pass == null)
{
errStr += "\n您的密码必须输入";
}
//判断密码必须是数字和字母,且长度必须为4到25之间
else if (!/^\w{4,25}$/.test(pass))
{
errStr += "\n您的密码必须是字母和数字,且长度在4到25之间";
}
//判断年龄必须输入
if (age == "" || age == null)
{
errStr += "\n您的年龄必须输入";
}
//判断年龄必须是一个有效的年龄
else if (!/^[0-1]?[0-9]?[0-9]$/.test(age))
{
errStr += "\n您的年龄必须为整数,且必须是一个有效的年龄值";
}
//判断生日必须输入
if (birth == "" || birth == null)
{
errStr += "\n您的生日必须输入";
}
//判断生日必须是一个有效的日期,且只能是19xx年,或者20xx年
else if(!/^19\d\d\-[0-1]\d\-[0-3]\d$/.test(birth)
&& !/^20[0-1]\d\-[0-1]\d\-[0-3]\d$/.test(birth))
{
errStr += "\n您的生日格式不正确,格式:yyyy-MM-DD";
}
//如果错误字符串为空,表明客户端校验通过
if (errStr == "")
{
return true;
}
//客户端校验没有通过,通过警告框输出校验失败提示
else
{
alert(errStr);
return false;
}
}
//一个简单的截去字符串前后空格的函数
function trim(s)
{
return s.replace("/^\s*/" , "")
.replace("/\s*$/" , "")
}
</script>
</head>
<body>
<h1>请输入您的注册信息</h1>
<font color="red">
${requestScope.error}
</font>
<form method="post" action="regist"
οnsubmit="return validate(this);">
用户名:<input type="text" name="username" /><br />
密 码:<input type="password" name="pass"><br />
年 龄:<input type="text" name="age"><br />
生 日:<input type="text" name="birth"><br />
<input type="submit" value="注册">
</form>
</body>
</html>
提示:客户端校验比较烦琐,大部分时候会借助第三方客户端校验库 如 Valiadation.js 库等
2. 服务器端校验
如果有人恶意 crack 某个应用,如 在 IE 用“另存为” 将页面保存在计算机内,然后修改输入校验绑定,并修改 action 属性,如:
<form action="http://localhost:8080/ClientValidate/regist" method="post">
</form>
如此就能避开客户端校验 直接访问 Servlet
因此,服务器端校验是整个应用最后的防线,它阻止了非法数据进入系统,对于系统的安全性、完整性、承载着不可替代的作用。但是 客户端校验也是不可缺少的,大部分客户都是正常浏览者,所以它能降低服务器的负载。
Regist.java :
import javax.servlet.ServletException;
import javax.servlet.ServletContext;
import javax.servlet.RequestDispatcher;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
import java.io.IOException;
import java.util.*;
import java.util.regex.*;
import java.text.*;
public class Regist extends HttpServlet
{
//用户处理用户请求的service方法
public void service(HttpServletRequest request ,
HttpServletResponse response)
throws IOException, ServletException
{
//设置解析请求参数所用的解码集
request.setCharacterEncoding("GBK");
//从HttpServletRequest中取出四个请求参数
String name = request.getParameter("username");
String pass = request.getParameter("pass");
String strAge = request.getParameter("age");
String strBirth = request.getParameter("birth");
//错误字符串
String errStr = "";
//校验用户名为空的情形
if (name == null || name.trim().equals(""))
{
errStr = "您必须输入用户名!";
}
//要求用户名必须是字母和数字,且长度必须是4到25之间
else if (!Pattern.matches("\\w{4,25}", name.trim()))
{
errStr += "<br />您输入用户名必须是字母和数字,且长度必须是4到25之间!";
}
//校验密码为空的情形
if (pass == null
|| pass.trim().equals(""))
{
errStr += "<br />您必须输入密码!";
}
//要求密码必须是字母和数字,且长度必须是4到25之间
else if (!Pattern.matches("\\w{4,25}", pass.trim()))
{
errStr += "<br />您输入密码必须是字母和数字,且长度必须是4到25之间!";
}
int age = 0;
try
{
//将用户输入的年龄解析成一个整数
age = Integer.parseInt(strAge);
//如果年龄大于150或者小于0
if (age > 150 || age <= 0)
{
errStr += "<br />您输入的年龄必须是一个有效的年龄!";
}
}
//如果将用户输入的年龄转换成整数出现异常,表明输入不合法
catch (Exception e)
{
errStr += "<br />您输入的年龄必须是整数!";
}
//构造一个日期格式器
SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-DD");
Date birth = null;
try
{
//将用户输入的生日字符串转换成一个日期变量
birth = sdf.parse(strBirth);
//判断用户输入的日期必须在有效的时间段内
if (birth.after(sdf.parse("2050-02-21"))
|| birth.before(sdf.parse("1900-01-01")))
{
errStr += "<br />您输入的生日必须在一个有效的时间段内";
}
}
//如果将用户输入的生日字符串转换成日期出现异常,表明输入不合法
catch (Exception e)
{
errStr += "<br />您输入的生日必须是yyyy-MM-DD格式!";
}
//如果错误字符串为空,表明没有出现任何异常
if (errStr.equals(""))
{
//将类型转换后值封装成UserBean值对象
UserBean user = new UserBean(name , pass , age , birth);
//用Servlet直接输出
response.setContentType("text/html;charset=GBK");
//获得页面输出流
PrintWriter out = response.getWriter();
out.println("<html>");
out.println("<head>");
//输出页面标题
out.println(" <title>类型转换页面</title>");
out.println("</head>");
out.println("<body>");
out.println("<h1>类型转换页面</h1>");
//下面输出值对象user的4个属性值
out.println("用户的用户名:" + user.getName() + "<br />");
out.println("用户的密码:" + user.getPass() + "<br />");
out.println("用户的年龄:" + user.getAge() + "<br />");
out.println("用户的生日:" + user.getBirth() + "<br />");
out.println("</body>");
out.println("</html>");
}
//否则,校验失败
else
{
//将错误字符串设置成一个HttpServletRequest属性
request.setAttribute("error" , errStr);
//将请求转发到登录页面
request.getRequestDispatcher("/regist.jsp")
.forward(request , response);
}
}
}
3. 类型转换和输入校验
类型转换和数据校验的大致关系: 类型转换是数据校验的前提。但是很多时候,类型转换和数据校验是同时完成的。如果要求数据可以正常转换成有效数据类型,则输入数据必须是合法数据,这就要求用户输入必须是合法数据。可以理解: 类型转换的要求是输入校验的子集。