使用JSP标记库校验用户输入.docVIP

使用JSP标记库校验用户输入 作者：Vlad Kofman，陈姣姣翻译 发文时间：2004.01.15 在任何一个基于Web的应用中，程序逻辑要求用户提交需要校验的信息，而应用的创建者则可以用两种方式来检测数据。第一种方法就是在客户端校验，甚至在信息提交到服务器上之前也可以进行。通常，这种校验使用运行在客户端因特网浏览器内的JavaScript就可以完成。尽管表格将要提交，但是脚本还是会检查所有请求的域，如果不符合就弹出错误信息。第二种方法就是在服务器端校验。在执行对数据的任何操作之前，使用应用服务器支持的技术来完成校验。 服务器端的校验使服务器更紧张，却给予了程序员更多的控制，并且保证了数据一定会检测。客户端的校验很容易被用户绕过(通过使JavaScript不能用)，因此允许提交未检测的信息可以使速度更快，因为用户不必传送页到服务器，也不必从服务器上获取页。 目前，越来越多的在线应用依赖于服务器端的校验，主要原因是它保证了检测并且提高了应用的安全性，另一个原因是服务器硬件和软件性能在近几年内有较大的提高，还有一个原因是它虑及程序更大的灵活性并且往往易于实现。 目录 校验进程JSP标记具有校验功能的JSP视图结论代码列表 在本文中，我将讨论使用Java JSP标记库进行服务器端校验的唯一方法，并且简短的描述了JSP标记库的创建。我将在我以前文章Applying MVC to web-based applications with JSP views描述的Web应用上建立一个例子——一个在用户提交ZIP代码或者城市名之后显示天气信息的简单项目。该Web应用遵守Model-View-Controller (MVC) 结构并且使用Tomcat 应用服务器。 校验进程 在企业级应用中，数据校验是安全进程的必需部分。应用不但必须捕捉空域或者局部域，他还必须预防错误项。如果数据提交到RDBMS 存储器或者任何其他持久性存储器内，并且已用在SQL语句中，用户就能够附带（或者特意）提交导致SQL语句无效的坏数据。恶意用户甚至能够传递转义字符串或者将特殊数据输入到提交表格内，使他们执行Web应用开发者原本没有设计的任何操作。例如他们可以删除来自数据库的行或者表格，或者获取他们想要的信息。 我已经完成校验的JSP页在MVC设计中属于Views ，而MVC设计是在线天气程序的一部分。 每个JSP视图要么提交数据要么显示数据。当提交带有ZIP代码或者城市名的表格时，信息就被传递到服务器。在服务器上，Controller Servlet对象在特殊操作——来自于JSP的key 参数——的基础之上执行一个操作，然后重定向到下一个视图。更多细节我将在稍后讨论；现在我们先看看JSP标记的工作方式。 JSP标记 你可以将JSP标记看作是一个可由运行在服务器上的Java代码执行的自定义动作。在JSP中， 标记看起来就像一个标准的HTML标记，但是它的逻辑不在客户端上执行，而是作为JSP转换而成的Servlet 的一部分在服务器端执行。每个标记封装在一个单独的类中，并且他的名字和参数属性显示在带有tld 扩展名的特殊配置描述符文件内。该文件应该放在你的应用服务器内的web应用目录WEB-INF 下，并且在JSP中使用%@taglib ... %指令显示该文件，在web.xml 文件中显示该文件。当JSP引擎遇到自定义标记时，它检测它自己是否知道标记类在哪里，如果知道的话，就执行相应的代码。标记类通常放在jar 文件内并且放在WEB-INF 下的lib 目录下。  Ex. ..\WEB-INF\mytags.tld - deployment descriptor file Ex. ..\WEB-INF\lib\mytags.jar tag library (or a full directory structure) 为了展示如何使用标记进行校验，我创建了一个自定义JSP标记来校验ZIP代码域，名叫notValidZip。标记可以执行任何动作，如HTML格式化、域操作、或者甚至是数据库查询。为了其他的检测，我使用了来自Coldbeans Software ()的标记库，也拥有了校验HTML表格域的非常真实的标记。Coldbeans Software可免费用于非商业用途。如果你需要在商业站点使用标记，你可以自己编写或者购买。 下面是一个配置描述符文件 validtag.tld ，它能够处理我的notValidZip标记：  tag namenotValidZip/name tagclasscom.cj.valid.notValidZip/tagclass bodycontentJSP/bod