在学习Web开发的同时,我正在研究一个小的Servlets和JSP应用程序。
我有一个关于验证和在jsp和servlet之间传递值的问题。
我有一个“啤酒”类,带有“评级”属性(类型为double)。
加载“ edit.jsp”的servlet创建一个Beer对象,并从数据库加载当前值。
BeerDAO beerdao = new BeerDAO(); Beer beer = beerdao.getBeer(id); request.setAttribute("beer", beer);
在JSP中,对象以以下方式显示:
... <td class="left">Beer Name:</td> <td><input type="text" name="name" value="${beer.name}"/></td> ... <td class="left">Rating:</td> <td><input type="text" name="rating" value="${beer.rating}"/></td> ...
现在,当我将表单提交到“ update” servlet时,每个属性都将得到验证。在“ rating”属性的情况下,我将其转换为double。
如果我在验证中发现错误(即:字母,而不是等级值的数字),我想返回到表单,其中包含用户键入的值和错误消息。问题是,我需要将请求中的Beer对象显示在表单中,但是我无法将“ rating”值传递给它,因为它的类型不正确。因此,现在我将用户引导回具有空等级的表单。
我猜我错了。那么,验证数字并返回编辑表单的正确方法是什么?
最基本的方法是Map<String, String>在请求范围内使用,其中键代表字段名称,值代表验证错误-如果有的话。
Map<String, String>
BeerDAO beerdao = new BeerDAO(); Beer beer = beerdao.getBeer(id); request.setAttribute("beer", beer); // ... Map<String, String> messages = new HashMap<String, String>(); request.setAttribute("messages", messages); // ... String rating = request.getParameter("rating"); if (rating == null) { messages.put("rating", "Please enter rating"); } else if (!rating.matches("\\d+")) { messages.put("rating", "Please enter numbers only"); } else { beer.setRating(Integer.valueOf(rating)); } // ...
然后在视图中
<input name="rating" value="${empty messages.rating ? beer.rating : param.rating}" /> <span class="error">${messages.rating}</span>
如果没有消息(因此验证已通过),则条件表达式将显示啤酒等级,否则将用户提交的值作为请求参数。
与 具体问题 无关 ,重新显示用户提交的数据而不用XML进行转义会导致XSS 攻击。我强烈建议安装JSTL并使用fn:escapeXml()函数对这些值进行转义。
fn:escapeXml()
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %> ... <input name="rating" value="${fn:escapeXml(empty messages.rating ? beer.rating : param.rating)}" />
