1.Spring validation的作用
1)关于Sql注入:就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符 串,最终达到欺骗服务器执行恶意的 SQL 命令。
2)防止Sql注入:(1)永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式, 或限制长度,对单引号和双"-"进行转换等。(2)永远不要使用动态拼装 SQL,可以使用参数化的 SQL 或者直接使用存储过程 进行数据查询存取。(3) 永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的 数据库连接。(4)不要把机密信息明文存放,请加密或者 hash 掉密码和敏感的信息。(5) 应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原 始错误信息进行包装,把异常信息存放在独立的表中。
3)因此便需要用到Spring Validation,而Spring Validation的主要作用是检查请求参数的基本格式。
2.关于检查请求参数
在开发实践中,无论是客户端的项目(例如网页前端),还是服务器端的项目,都需要对用户填写、选择的数据进行检查!
其实,最终能够保证数据有效的一定是服务器端的检查,所以,服务器端必须对请求参数进行检查,仅当数据的基本格式有效后,才进行相关的处理。
客户端的检查应该是不作为最终保障的,在前后端分离的模式下,服务器端无法保证所有客户端都采取了统一、有效的验证规则!因为客户端的检查可能并未实现、用户设备中客户端软件的版本并未升级,甚至,客户端软件是可能伪造、篡改的。
即使客户端的检查不一定是可靠的,但是,所有客户端仍应该对请求参数进行检查,如果参数的基本格式不符合要求,则不应该提交请求!毕竟客户端的检查可以把绝大部分错误拦截掉(不会低级错误的请求发到服务器端),以减轻服务器端的压力。
3.添加依赖
在Spring Boot项目中,使用Spring Boot Validation的依赖项是:
<!-- Spring Boot Validation:用于检查请求参数的基本格式 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-validation</artifactId>
</dependency>
4.基本使用
在控制器处理请求的方法中,对需要验证的请求参数添加`@Valid`或`@Validated`注解,表示此参数是需要通过Spring Boot Validation进行检查的,例如:
@PostMapping("/add-new")
public JsonResult addNew(@RequestBody @Valid BrandAddNewDTO brandAddNewDTO) {
brandService.addNew(brandAddNewDTO);
return JsonResult.ok();
}
在封装了请求参数的POJO类中,在各需要验证格式的属性之前,添加检查格式的注解,即可实现格式的验证,例如:
@ApiModelProperty(value = "品牌名称", required = true, example = "华为")
@NotNull
private String name;
5.关于检查参数格式的注解
@NotNull:不允许为`null`,即必须提交此名称对应的参数
注意:适用于基本数据类型(Integer,Long,Double等等)
@NotEmpty:不允许为空字符串(长度为0的字符串)
注意:适用于数组或集合类型属性上判断当前数组或集合不能为null并且长度不能为0
@NotBlank:不允许为空白(字符串长度可能大于0,却是由空格、TAB等空白输入的)
注意:适用于字符串格式的参数
@Min:设置数值类型的最小值
仅用于数值类型的请求参数
可被@Range取代
@Max:设置数值类型的最大值
仅用于数值类型的请求参数
可被@Range取代
@Range:设置数据类型的取值区间,可设置最小值和最大值
此注解的min属性默认为0,max属性默认为long类型的最大值
仅用于数值类型的请求参数
@Pattern:配置正则表达式
不能取代@NotNull注解
在开发实践中,对于字符串类型的请求参数,应该同时使用`@NotNull`(如果你认为必须提交)和@Pattern,而`@NotEmpty`、`@NotBlank`通常不需要使用,除非你对此字符串的值没有太多要求,对于数值类型的请求参数,应该同时使用`@NotNull`和`@Range`。
需要注意:对于数值类型的属性,如果提交的请求参数不能够转换成数值类型,则这些注解将不生效,且报错。
另外,在开发实践中,通常会将使用到的正则表达式、出错时的提示文本封装在专门的类或接口中,各POJO类型直接引用即可。