使用JSP标签库验证用户的输入(1)
在任何一个需要验证用户提交的逻辑请求的WEB程序中,程序的创建者能够使用两种方法来检查数据信息。第一个方法是在客户端上进行验证,甚至是在请求提交到服务器之前就能完成验证。通常,这个是使用运行在客户端浏览器的JavaScript脚本语言来完成。当表单被提交的时候,脚本就会检查所有提交的内容,如果发现错误,脚本就会弹出一个POPUP窗口来显示错误的信息。第二种方法是在服务器端进行验证的工作,这种方法是在使用应用服务器所支持的技术来执行任何数据操作之前发生的。
服务器的验证方式加重了服务器的负担,但是给予程序员更多的控制权,保证了数据的检查。客户端的验证方式不能保证所有数据的检查,因为某些用户通过在浏览器禁用了JavaScript脚本,因此有些提交的信息无法被检查。但是客户端验证方式比服务器验证方式更快,因为用户不必将验证数据提交到服务器和从服务器得到该页面。
目前,越来越多的在线程序需要服务器端进行验证,主要是因为它保证了检查,提高了程序的安全性。而且近年来的服务器硬件和软件性能有了飞速发展,能够允许更大弹性的程序运行在上,从而更容易的执行它们。
在这篇文章中,我将使用一种独特的方式来进行服务器端验证,这种方式是使用JAVA JSP标签库。然后我会简要的讲叙JSP标签的创建。我的上一篇文章《观点:在WEB应用中使用MVC模式》(译者注:该文已经翻译并在csdn文档中心发表)中创建了一个WEB程序,一个小型项目,它通过用户提交的一个城市名或者邮政编码来显示了当地的天气信息。这个程序完全遵循MVC架构,使用的应用服务器是Tomcat。
验证过程在一个企业级的应用程序中,数据的验证是一个需要安全性的过程。程序不仅必须匹配空的或者填写不完全的域(field),而且还必须严格小心那些填写错误的表项(entry)。如果数据通过SQL语句被提交并保存到一个RDBMS或者任何一个永久的存储设备中,那么用户能够意外地(或者有意的)提交一个错误的数据,从而导致了无效的SQL语句发生。如果一个恶意的用户能提交空的字符串或者在一个表单中输入特定的数据来执行一个原本只有WEB程序开发者才能执行的操作,将是多么的危险。例如:他们能够从数据库中输出一行数据或者一个表里的数据,甚至可以从数据库中得到他们所想要的敏感信息。
在上文的“在线天气程序”中执行验证的JSP页面是MVC设计中的“视图(VIEW)”角色。每个JSP视图要么提交数据,要么显示数据。当表单中的邮政编码或城市名被提交后,信息被传送给服务器。服务器扮演了MVC中的“控制器(CONTROLER)”角色,由一个Servlet控制器对象来执行从JSP里传递来的行为,并重新定位到下一个视图。更多详细内容在后面将会介绍,让我们先来看看JSP标签的工作机制。
JSP标签你能够将JSP标签认为是在能够运行Java程序的服务器上所执行的一种定制行为。在JSP中,一个标签看起来很象一个标准的HTML标签。但是,它的逻辑不在客户端被执行,而是由服务器端的Servlet来转换。每个标签被封装到一个独立的类,它的名字和参数属性被一个特殊的.tld扩展名的部署描叙文件中来指出。这个文件应该放置在应用服务器的WEB程序根目录下的WEB-INF 目录中,在JSP中使用 <%@taglib ... %> 来指明,同时也存在于一个a web.xml文件中。当一个JSP引擎遇到一个定制的标签时,它首先检查看是否知道这个标签类的物理位置。如果它知道,就会执行标签类中响应的代码。标签类通常被制作成一个JAR文件,放置在WEB-INF目录下的lib目录中。
Ex. ..\WEB-INF\mytags.tld - 部署描叙文件