在Zend应用程序中处理无效输入的最安全方法是什么?

时间:2013-05-10 01:42:32

标签: security validation zend-framework error-handling zend-filter

我有一个应用程序,用户从包含ID值的链接(例如:/ students / view / 42)到达页面。在我的代码中,我使用Zend_Filter_Input,如下所示:

$input = new Zend_Filter_Input(array(), array(
    'id' => new Zend_Validate_Db_RecordExists(array (
        'table' => 'Students',
        'field' => 'id'
     )
), $this->_request->getParams());
if (!$input->isValid()) {
    // ???
}

我认为到目前为止还没有任何惊天动地的事情发生。但是,我不清楚的是,如果id的值无效,该怎么办。

在他的书Zend Framework:A Beginner's Guide中,Vikram Vaswani让用户抛出一个异常(Zend_Controller_Action_Exception('Page Not Found',404))。这是处理此问题的最佳方式,如果没有,还有哪些其他选项可用?

1 个答案:

答案 0 :(得分:2)

您应该将用户重定向到具有404错误描述的页面(您应该使用ErrorController进行异常消息呈现)或者将特定页面重定向到具有此类学生不存在的消息。

抛出异常并在ErrorController中渲染错误页面。

你可以这样做:

 $this->getResponse()->setHttpResponseCode(404);


throw new Zend_Controller_Action_Exception('This page does not exist', 404);

典型的ErrorController类如下:

class ErrorController extends Zend_Controller_Action
{
    public function errorAction()
    {
        $errors = $this->_getParam('error_handler');

        switch ($errors->type) {
            case Zend_Controller_Plugin_ErrorHandler::EXCEPTION_NO_ROUTE:
            case Zend_Controller_Plugin_ErrorHandler::EXCEPTION_NO_CONTROLLER:
            case Zend_Controller_Plugin_ErrorHandler::EXCEPTION_NO_ACTION:
                // 404 error -- controller or action not found
                $this->getResponse()
                     ->setRawHeader('HTTP/1.1 404 Not Found');

                // ... get some output to display...
                break;
            default:
                // application error; display error page, but don't
                // change status code
                break;
        }
    }
}
相关问题
最新问题