J2EE数据应验的一些开发建议

J2EE数据验证的一些开发建议
    说在前面：非原创。

输入数据验证：虽然为了用户的方便，可以提供“客户端”层数据的数据验证，但必须使用servlet 在服务器层执行验证。 客户端验证本身就不安全，因为这些验证可轻易绕过，例如，通过禁用 javascript。一份好的设计通常需要 web 应用程序框架，以提供服务器端实用程序例程，从而验证以下内容：
[1] 必需字段；[2] 字段数据类型（缺省情况下，所有 http 请求参数都是“字符串”）；[3] 字段长度；[4] 字段范围；[5] 字段选项；[6] 字段模式；[7] cookie 值；[8] http 响应。
好的做法是将以上例程作为“验证器”实用程序类中的静态方法实现。以下部分描述验证器类的一个示例。
[1] 必需字段

  // java example to validate required fields  public class validator {      ...      public static boolean validaterequired(string value) {          boolean isfieldvalid = false;          if (value != null && value.trim().length() > 0) {              isfieldvalid = true;          }          return isfieldvalid;      }      ...  }  ...  string fieldvalue = request.getparameter("fieldname");  if (validator.validaterequired(f ieldvalue)) {      // fieldvalue is valid, continue processing request      ...  }

[2] 输入的 web 应用程序中的字段数据类型和输入参数欠佳。例如，所有 http 请求参数或cookie值的类型都是“字符串”。开发者负责验证输入的数据类型是否正确。 使用java基本包装程序类，来检查是否可将字段值安全地转换为所需的基本数据类型。
验证数字字段（int 类型）的方式的示例：

  // java example to validate that a f ield is an int number  public class validator {      ...      public static boolean validateint(string value) {          boolean isfieldvalid = false;          try {              integer.parseint(value);              isfieldvalid = true;          } catch (exception e) {              isfieldvalid = false;          }          return isfieldvalid;      }      ...  }  ...  // check if the http request parameter is of type int  string f ieldvalue = request.getparameter("f ieldname");  if (validator.validateint(f ieldvalue)) {      // f ieldvalue is valid, continue processing request      ...  }

好的做法是将所有http请求参数转换为其各自的数据类型。例如，开发者应将请求参数的“integervalue”存储在请求属性中，并按以下示例所示来使用：

  // example to convert the http request parameter to a primitive wrapper data type  // and store this value in a request attribute for further processing  string f ieldvalue = request.getparameter("f ieldname");  if (validator.validateint(f ieldvalue)) {      // convert f ieldvalue to an integer      integer integervalue = integer.getinteger(f ieldvalue);    // store integervalue in a request attribute      request.setattribute("f ieldname", integervalue);  }  ...  / / use the request attribute for further processing  integer integervalue = (integer)request.getattribute("f ieldname");  ...

应用程序应处理的主要 java 数据类型：
byteshortintegerlongfloatdoubledate
[3] 字段长度“始终”确保输入参数（http请求参数或cookie值）有最小长度和/或最大长度的限制。
以下示例验证 username 字段的长度是否在 8 至 20 个字符之间：

  // example to validate the f ield length  public class validator {      ...      public static boolean validatelength(string value, int minlength, int maxlength) {          string validatedvalue = value;          if (!validaterequired(value)) {              validatedvalue = "";          }          return (validatedvalue.length() >= minlength &amp;&amp;                      validatedvalue.length() <= maxlength);      }      ...  }  ...  string username = request.getparameter("username");  if (validator.validaterequired(username)) {      if (validator.validatelength(username, 8, 20)) {          / / username is valid, continue further processing          ...      }  }

[4] 字段范围
始终确保输入参数是在由功能需求定义的范围内。
以下示例验证输入 numberofchoices 是否在 10 至 20 之间：

  / / example to validate the f ield range  public class validator {      ...      public static boolean validaterange(int value, int min, int max) {          return (value >= min &amp;&amp; value <= max);      }      ...  }  ...  string f ieldvalue = request.getparameter("numberofchoices");if (validator.validaterequired(f ieldvalue)) {      if (validator.validateint(f ieldvalue)) {          int numberofchoices = integer.parseint(f ieldvalue);          if (validator.validaterange(numberofchoices, 10, 20)) {              // numberofchoices is valid, continue processing request              ...          }      }  }

[5] 字段选项 web 应用程序通常会为用户显示一组可供选择的选项（例如，使用select html 标记），但不能执行服务器端验证以确保选定的值是其中一个允许的选项。请记住，恶意用户能够轻易修改任何选项值。始终针对由功能需求定义的受允许的选项来验证选定的用户值。
以下示例验证用户针对允许的选项列表进行的选择：

  // example to validate user selection against a list of options  public class validator {      ...      public static boolean validateoption(object[] options, object value) {          boolean isvalidvalue = false;          try {              list list = arrays.aslist(options);              if (list != null) {                  isvalidvalue = list.contains(value);              }          } catch (exception e) {          }          return isvalidvalue;      }      ...  }  ...  // allowed options  string[] options = {"option1", "option2", "option3");  // verify that the user selection is one of the allowed options  string userselection = request.getparameter("userselection");  if (validator.validateoption(options, userselection)) {      // valid user selection, continue processing request      ...  }

[6] 字段模式
始终检查用户输入与由功能需求定义的模式是否匹配。例如，如果 username 字段应仅允许字母数字字符，且不区分大小写，那么请使用以下正则表达式：^[a-za-z0-9]*$。
执行正则表达式验证的示例：

  // example to validate that a given value matches a specif ied pattern  // using the java 1.4 regular expression package  import java.util.regex.pattern;  import java.util.regexe.matcher;  public class validator {      ...      public static boolean matchpattern(string value, string expression) {          boolean match = false;          if (validaterequired(expression)) {              match = pattern.matches(expression, value);          }          return match;      }      ...  }  ...  // verify that the username request parameter is alphanumeric  string username = request.getparameter("username");  if (validator.matchpattern(username, "^[a-za-z0-9]*$")) {      / / username is valid, continue processing request      ...  }

[7]cookie值使用javax.servlet.http.cookie对象来验证cookie值。适用于cookie值的相同的验证规则（如上所述）取决于应用程序需求（如验证必需值、验证长度等）。
验证必需 cookie 值的示例：

  // example to validate a required cookie value  // first retrieve all available cookies submitted in the http request  cookie[] cookies = request.getcookies();  if (cookies != null) {      // f ind the "user" cookie      for (int i=0; i<cookies.length; ++i) {          if (cookies[i].getname().equals("user")) {              / / validate the cookie value              if (validator.validaterequired(cookies[i].getvalue()) {                  // valid cookie value, continue processing request                  ...              }          }          }  }

[8] http 响应
[8-1] 过滤用户输入要保护应用程序免遭跨站点脚本编制的攻击，请通过将敏感字符转换为其对应的字符实体来清理 html。这些是 html 敏感字符：< > " ' % ; ) ( &amp; +。
以下示例通过将敏感字符转换为其对应的字符实体，来过滤指定字符串：

  // example to f ilter sensitive data to prevent cross-site scripting  public class validator {      ...      public static string f ilter(string value) {          if (value == null) {              return null;          }                  stringbuf fer result = new stringbuf fer(value.length());          for (int i=0; i<value.length(); ++i) {              switch (value.charat(i)) {              case '<':                  result.append("&amp;lt;");                  break;              case '>':                  result.append("&amp;gt;");                  break;              case '"':                  result.append("&amp;quot;");                  break;              case '\'':                  result.append("&amp;#39;");                  break;              case '%':                  result.append("&amp;#37;");                  break;              case ';':                  result.append("&amp;#59;");                  break;              case '(':                  result.append("&amp;#40;");                  break;              case ')':                  result.append("&amp;#41;");                  break;              case '&amp;':                  result.append("&amp;amp;");                  break;              case '+':                  result.append("&amp;#43;");                  break;              default:                  result.append(value.charat(i));                  break;          }                  return result;      }      ...  }  ...  // filter the http response using validator.filter  printwriter out = response.getwriter();  // set output response  out.write(validator.filter(response));  out.close();

java servlet api 2.3 引进了过滤器，它支持拦截和转换 http 请求或响应。
以下示例使用 validator.f ilter 来用“servlet 过滤器”清理响应：

  // example to f ilter all sensitive characters in the http response using a java filter.  // this example is for illustration purposes since it will f ilter all content in the response, including html tags!  public class sensitivecharsfilter implements filter {      ...      public void dofilter(servletrequest request,                      servletresponse response,                      filterchain chain)              throws ioexception, servletexception {          printwriter out = response.getwriter();          responsewrapper wrapper = new responsewrapper((httpservletresponse)response);          chain.dofilter(request, wrapper);          chararraywriter caw = new chararraywriter();          caw.write(validator.f ilter(wrapper.tostring()));          response.setcontenttype("text/html");          response.setcontentlength(caw.tostring().length());          out.write(caw.tostring());          out.close();      }      ...      public class charresponsewrapper extends httpservletresponsewrapper {          private chararraywriter output;          public string tostring() {              return output.tostring();          }          public charresponsewrapper(httpservletresponse response){              super(response);              output = new chararraywriter();          }          public printwriter getwriter(){              return new printwriter(output);          }      }  }

[8-2] 保护cookie
在cookie中存储敏感数据时，确保使用cookie.setsecure（布尔标志）在 http 响应中设置cookie 的安全标志，以指导浏览器使用安全协议（如 https 或 ssl）发送cookie。
保护“用户”cookie 的示例：

  // example to secure a cookie, i.e. instruct the browser to  / / send the cookie using a secure protocol  cookie cookie = new cookie("user", "sensitive");  cookie.setsecure(true);  response.addcookie(cookie);

全文结束，有问题的可以留言大家探讨。
 

查看更多 下一篇