在哪里验证用户输入？ [关闭]

Question

我正在使用涉及一些 REST 的面向对象方法开发一个新应用程序，我没有使用任何框架。

我的问题是，在下面的 setter 中验证用户输入的最佳位置在哪里：

public function setSalary($salary)
{
    if (Validator::money($salary))
        $this->salary = $salary;
    else
        return 'Error that is an invalid number';
}

还是在控制器中？

public function updateSalary()
{
    $errors = array();

    if (Validator::money($_POST['salary']))
        $salary = $_POST['salary'];
        else
            $errors ['salary']  = 'Error that is an invalid number';

    if(count($errors))
        return $errors;

    $employee = new Employee($_POST['e_Id']);
    $employee->setSalary($salary);

    $employee->save();
}

如果我要放入 setter，我的控制器应该如何查看并返回验证错误？

我看到大多数人在控制器中进行验证，但是我认为应该由模型负责验证，因为它将使用数据，我们可以重用该模型而无需重复自己。 然而，有时验证规则可能需要在某些特殊情况下有所不同，例如针对不同视图的不同验证或针对超级管理员的不同验证。

您认为哪一项符合最佳做法？

Answer 1

首先，由于您似乎渴望实现类似 MVC 的结构，让我们从一些与验证没有直接关系的一般错误开始。

• 只有包含 PHP 超全局变量的部分代码应该是引导阶段。将超全局变量散布在您的代码中会使测试变得非常困难。而且您的代码也通过<input> 名称与您的HTML 紧密耦合。

• 即使您的 for 或 if 语句包含一行，您也应该始终使用大括号。好吧，一般来说，您的代码应该遵循PSR-1 和PSR-2 准则。

• 控制器不应该有任何逻辑，或者正在处理数据的保存。阅读this post，也许它会清除一些东西。

好的..现在回到原来的主题。

一般来说有两种思想流派：

1. 您在域实体中进行验证

   您的域实体（在您的情况下为 Employee）包含与其相关的所有业务角色。它可以使用这些规则来评估它是否处于有效状态。

   代码会是这样的：

   $employee = new Entity\Employee;
   $employee->setID($id);
   $employee->setSalary($money);    
   if ($employee->isValid()) {
       $mapper = new Mapper\Employee($dbConn);
       $mapper->store($emplyee);
   }
   

2. 您永远不会创建无效的域实体

   这种方法来自DDD，您的域实体是由其他一些类创建的，它只能从一个有效状态更改为另一个有效状态。本质上，如果您想探索这种方法，您将不得不阅读this book（可能好几遍）。

此外，还有另一种验证形式，前两者涵盖了注意事项：数据完整性检查。这是一种验证，实际上是由我的 RDBMS 完成的。例如，UNIQUE 约束。

当你遇到完整性违规时，它通常会抛出一个异常，你在服务层处理。

Answer 2

每次将数据写入数据库时​​都必须调用验证。所以在这种情况下来自控制器。实际验证发生在模型中。模型是对象，它知道它的字段遵循哪些规则，并且可以检查数据是否有效。此外，模型是世界其他地方与数据库之间的边界。所以，我会做这样的事情：

public function updateSalary()
{
    $employee = new Employee($_POST['e_Id']);
    $employee->setSalary($_POST['salary']));
    if ($employee->validate()) {
        $employee->save();             
    } else {
        return $employee->getErrors();
    }
}

为什么我会以这种方式提供给你：

• 因为您将验证保存在一个地方。稍后，如果您想验证另一个字段，您将再次调用 validate() 方法。您不会为每个字段或类编写另一个验证；
• 您可以创建一个基类并将 validate() 方法放在那里 - 所有客户端都会调用 validate() 方法，并且不会关心字段的细节。 validate 方法只关心要验证的内容——哪些字段和规则是什么。此信息将在特定（子）类中设置，例如 Employee 类。
• 如果您只想验证一个字段（如您的情况），在 validate() 方法中，您可以简单检查哪些字段已更改并仅对这些字段进行验证。

Answer 3

取决于你，如果验证规则是“全局的”，换句话说，如果每次更新数据库表/对象属性时它们都相同，请将它们放在模型中，否则在控制器中验证用户输入不同的情况你需要对同一个Entity的不同的验证规则。

Answer 4

首先，我不是极客，下面就是我的想法。

应该在控制器中完成，因为现在你只是验证数字，这只是简单的检查，我认为你只需要为此应用正则表达式。

我的实际理解是，模型是您保留业务逻辑的地方，但如果您的字段值全部错误，那么您将永远不会处理业务逻辑并且您不希望您的模型发挥作用。

Answer 5

我建议尽可能在模型中应用验证。优点是可以更完整的方式直接测试Model，保证Model只持久化有效数据。

当然，控制器需要处理验证，当涉及分布式项目的复杂验证时，它可能是调用验证的第一层。但是在您给出的示例中，没有这样的复杂性。

请注意，无论如何，数据库引擎甚至会执行一些验证（例如NOT NULL 和主键要求）。

我还建议在模型中使用异常，因为这保证了正在运行的函数的中断，并允许您在控制器中以类似的方式处理所有（验证）错误。我建议配置您的数据库访问层以触发异常。在 PDO 的情况下，您可以按以下方式进行操作：

$dbh = new PDO($dsn, $user, $password);
$dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在模型中，当验证失败时会抛出异常：

public function setSalary($salary) {
    if (!Validator::money($salary)) {
        throw new Exception('Invalid value provided as salary.');
    }
    $this->salary = $salary;
}

在 Controller 中，您将捕获错误并记录它们：就像您在 $errors 中所做的那样，但我会将它们保留在 Model 中，以供 View 以后访问。这说明了模型如何检测验证错误，但控制器会处理它。

我还建议不要直接创建一个 Employee 实例，而是让模型为你做这件事：

public function updateSalary($emp_id, $salary) {
    try {    
        // Note that any of the following statements could trigger exceptions:
        $employee = $this->$model->getEmployee($emp_id);
        $employee->setSalary($salary);
        $employee->save();
    } catch(Exception $e) {
        $this->$model->logError('salary', $e->getMessage());
    }
}

使用发布的参数调用后一个函数，因为这可以更好地指示该方法使用什么作为输入。顶级 PHP 代码如下所示：

$model = new Model();
$controller = new Controller($model);
$view = new View($controller, $model);

$controller->updateSalary($_POST['e_Id'], $_POST['salary']);

echo $view->output();

视图将访问记录的错误以将它们报告给客户端。

我意识到关于在哪里检测验证错误、在哪里处理它们、何时触发异常（以及何时不触发异常）等等的争论永远不会结束。但这对我有用。