Go-Web編程_表單_0x02_驗證表單的輸入

2020 年 11 月 25 日
筆記
Go, golang, WEB, 正則, 正則表達式, 表單

開發Web的一個原則就是，不能信任用戶輸入的任何信息，所以驗證和過濾用戶的輸入信息就變得非常重要，我們經常會在微博、新聞中聽到某某網站被入侵了，存在什麼漏洞，這些大多是因為網站對於用戶輸入的信息沒有做嚴格的驗證引起的，所以為了編寫出安全可靠的Web程序，驗證表單輸入的意義重大。

我們平常編寫Web應用主要有兩方面的數據驗證，一個是在頁面端的js驗證（目前在這方面有很多的插件庫，比如ValidationJS插件），一個是在服務器端的驗證，我們主要考慮的是如克在服務器端驗證

必填字段

你想要確保從一個表單元素中得到一個值，例如前面小結裏面的用戶名，我們如何處理呢？Go有一個內置函數len可以獲取字符串的長度，這樣我們就可以通過len來獲取數據的長度，例如：

if len(r.Form["username"][0]==0{
  //為空的處理  
}

　　r.Form對不同類型的表單元素的留空有不同的處理，對於空文本框、空白本區域及文件上傳，元素的值為空值，而如果是未選中的複選框和單選按鈕，則根本不會在r.Form中產生相應條目，如果我們用上面例子中的方式去獲取數據時程序就會報錯。所以我們需要通過r.Form.Get()來獲取值，因為如果字段不存在，通過該方式獲取的是空值。但是通過r.Form.Get()只能獲取單個的值，如果是map的值，必須通過上面的方式來獲取。

數字

你想要的確保一個表單輸入框中獲取的只能是數字，例如，你想通過表單獲取某個人的具體年齡是50歲還是10歲，而不是像「一把年紀了」或「年輕着呢」這種描述

如果我們是判斷正整數，那麼我們先轉化成int類型，然後進行處理

getint,err:=strconv.Atoi(r.Form.Get("age"))
if err!=nil{
    //數字轉化出錯了，那麼可能就不是數字
}
//接下來就可以判斷這個數字的大小範圍了
if getint>100{
//太大了
}

還有一種方式就是正則匹配的方式

if m,_ :=regexp.MatchString("^[0-9]+$",r.Form.Get("age"));!m{
    return false
}

對於性能要求很高的用戶來說，這是一個老生常談的問題了，他們認為應該盡量避免使用正則表達式，因為使用正則表達式的速度會比較慢。但是在目前機器性能那麼強勁的情況下，對於這種簡單的正則表達式效率和類型轉換函數式沒有什麼差別的。如果你對正則表達式很熟悉，而且你在其他語言中也在使用它，那麼在Go裏面使用正則表達式講師一個遍歷的方式。

Go實現的正則是RE2，所有的字符都是UTF-8編碼的。

中文

有時候我們想通過表單元素獲取一個用戶的中文名字，但是又為了保證獲取的是正確的中文，我們需要進行驗證，而不是用戶隨便的一些輸入。對於中文我們目前有兩種方式來驗證，也可以使用正則方式來驗證，這裡使用最簡單的正則方式，如下代碼所示

if m,_:= regexp.MatchString("^\\p{Han}+$",r.Form.Get("realname"));!m{
    return false
}

英文

我們期望通過表單元素獲取一個英文值，例如我們想知道一個用戶的英文名，應該是astaxie，而不是asta謝。

電子郵件地址

你想知道用戶輸入的一個Email地址是否正確，通過如下這個方式可以驗證：

手機號碼

你想要的判斷用戶輸入的手機號碼是否正確，通過正則也可以驗證：

下拉菜單

如果我們想要判斷表單裏面<select>元素生成的下拉菜單是否有備選中的項目。有些時候黑客可能回偽造這個下拉菜單不存在的值發送給你，那麼如果判斷這個值是否是我們預設的值呢？

我們的select可能是這樣的一些元素

那麼我們可以這樣來驗證

單選按鈕

如果我們想要判斷radio按鈕是否有一個被選中了，我們頁面的輸出可能就是一個男、女性別的選擇，但可能是一個15歲打的無聊小孩，一手拿着http協議的書，另一手通過telnet客戶端向你的程序在發送請求呢，你設定的性別男值是1，女是2，他給你發送一個3，你的程序會出現異常嗎？因此我們也需要像下拉菜單的判斷方式類似，判斷我們獲取的值使我們預設的值，而不是額外的值。