タグ付けされた質問 「validation」

最近、クエリパラメータ「utf8 =✓」を含むURIをいくつか見ました。私の最初の印象（「うーん、かっこいい」と思った後）は、これを使用して壊れた文字エンコードを検出できるということでした。 それで、これは文字エンコーディングの潜在的な問題を解決するより良い方法ですか、それとも単にハックを楽しんでいる開発者ですか？

569 validation  http-request  utf-8 

電子メールアドレスの検証はどこまで行われるべきかと思います。私の分野は主にWeb開発ですが、これはどこでも当てはまります。 私はいくつかのアプローチを見てきました： 「@」が存在するかどうかを単純に確認します。これは非常に単純ですが、もちろんそれほど信頼できません。 標準の電子メール形式のより複雑な正規表現テスト 完全な正規表現に対するRFC 2822 -これに伴う問題は、多くの場合、電子メールアドレスが有効であるかもしれないということですが、それはおそらく、ユーザーがどのような意味ではありません DNS検証 SMTP検証 多くの人が知っているかもしれませんが（多くの人は知らない）、電子メールアドレスには、ほとんどの人が通常考慮しない多くの奇妙なバリエーションがあります（RFC 2822 3.4.1を参照）が、あなたの検証：電子メールメッセージをアドレスに送信できるようにするか、それともユーザーが入力することを意図したものであるかを確認しようとしていますか（それ以外の場合は、「有効」 'アドレス）。 私が検討したオプションは、より難解なアドレスで警告を出すだけですが、リクエストは通過できますが、これによりフォームがより複雑になり、ほとんどのユーザーが混乱する可能性があります。 DNS検証/ SMTP検証は非常に簡単に思えますが、DNSサーバー/ SMTPサーバーが一時的にダウンし、ユーザーがどこかに登録できない、またはユーザーのSMTPサーバーが必要な機能をサポートしていないという問題が発生することを予測しています。 ここにいる経験豊富な開発者の中には、これをどのように扱うのでしょうか？私がリストしたもの以外のアプローチはありますか？ 編集：私はすべての中で最も明白なことを完全に忘れて、確認メールを送信しました！それを指摘してくれた回答者に感謝します。はい、これは非常に簡単ですが、関係者全員の面倒な作業が必要です。ユーザーは電子メールを取得する必要があり、開発者はユーザーデータが有効であると確認される前にユーザーデータを記憶する必要があります。

101 regular-expressions  validation  user-interface 

だから、これが良いコード設計なのか悪いコード設計なのかはわからないので、私は尋ねた方が良いと思った。 クラスを含むデータ処理を行うメソッドを頻繁に作成し、メソッドで多くのチェックを行って、null参照やその他のエラーを事前に取得しないようにします。 非常に基本的な例： // fields and properties private Entity _someEntity; public Entity SomeEntity => _someEntity; public void AssignEntity(Entity entity){ _someEntity = entity; } public void SetName(string name) { if (_someEntity == null) return; //check to avoid null ref _someEntity.Name = name; label.SetText(_someEntity.Name); } そのため、毎回nullをチェックするimを見ることができます。しかし、メソッドはこのチェックを行うべきではありませんか？ たとえば、外部コードが事前にデータをクレンジングして、メソッドが以下のように検証する必要がないようにする必要があります。 if(entity != null) // this …

67 c#  design  validation 

緯度/経度座標を表す構造体を作成しました。値の範囲は、経度では-180〜180、緯度では90〜-90です。 その構造体のユーザーがその範囲外の値を私に与えた場合、2つのオプションがあります： 例外をスロー（引数が範囲外） 値を制約に変換します -185の座標には意味があるため（極座標なので+175に非常に簡単に変換できます）、受け入れて変換できます。 例外をスローして、彼のコードが持つべきではない値をユーザーに与えたことをユーザーに伝える方が良いでしょうか？ 編集：緯度/経度と座標の違いも知っていますが、議論を簡単にするためにそれを単純化したかったのです。

42 c#  exceptions  validation 

ドメインモデル検証のベストプラクティスをまだ探しています。ドメインモデルのコンストラクターに検証を入れるのは良いですか？私のドメインモデル検証の例は次のとおりです。 public class Order { private readonly List<OrderLine> _lineItems; public virtual Customer Customer { get; private set; } public virtual DateTime OrderDate { get; private set; } public virtual decimal OrderTotal { get; private set; } public Order (Customer customer) { if (customer == null) throw new ArgumentException("Customer name must …

38 design-patterns  domain-driven-design  validation 

コンストラクターパラメーターの検証のベストプラクティスは何ですか？ 単純なC＃を想定します。 public class MyClass { public MyClass(string text) { if (String.IsNullOrEmpty(text)) throw new ArgumentException("Text cannot be empty"); // continue with normal construction } } 例外をスローすることは受け入れられますか？ 私が遭遇した代替案は、インスタンス化する前の事前検証でした： public class CallingClass { public MyClass MakeMyClass(string text) { if (String.IsNullOrEmpty(text)) { MessageBox.Show("Text cannot be empty"); return null; } else { return new …

34 c#  validation  constructors 

私はBE（CS）に取り組んでいる学生で、私の質問は次のとおりです。 ソフトウェア分野でのテストが必要ですか？ 細心の注意を払ってソフトウェアを作成する場合、なぜテストする必要がありますか？ テストした後、私たちはすることができわから我々が行っているので、我々は（意図したとおりの製品/ソフトウェアが動作します）、この目標を達成していることをテストし、それのために？出来ますか？ 私の質問：ソフトウェアのテストは必要ですか？

33 testing  quality  validation  qa  verification 

呼び出しているメソッドがそのような期待を満たしているとわかっていても、メソッドが呼び出した期待値を満たしていることを検証することで、メソッド呼び出しの戻り値に対して防御する必要があるかどうか疑問に思っています。 与えられた User getUser(Int id) { User temp = new User(id); temp.setName("John"); return temp; } 私はすべき void myMethod() { User user = getUser(1234); System.out.println(user.getName()); } または void myMethod() { User user = getUser(1234); // Validating Preconditions.checkNotNull(user, "User can not be null."); Preconditions.checkNotNull(user.getName(), "User's name can not be null."); System.out.println(user.getName()); } …

30 java  validation  null  return-type  defensive-programming 

データ入力の検証は、常に私にとって非常に内部的な闘争でした。 レガシーアプリケーションリライトプロジェクトに実際のセキュリティフレームワークとコードを追加する寸前（これまでのところ、カードキャッスルに強力なレガシーセキュリティコードとデータ検証を保持している）、私はどのくらい検証すべきか、どこなど プロのJava開発者としての5年間で、データ入力の検証とセキュリティ対策のための個人ルールを作成し、改良しました。私は自分の方法を改善したいので、皆さんからいくつかのアイデアを聞きたいと思います。一般的なルールと手順は問題ありませんが、Java固有のものも同様です。 要約すると、これらは私のガイドライン（3層のWebアプリケーションスタイルで公開）であり、簡単な説明があります。 第1層のクライアント側（ブラウザ）：最小限の検証、不変のルールのみ（必須の電子メールフィールド、1つのアイテムを選択する必要があるなど）。「6〜20文字」などの追加検証の使用頻度が少なくなります。これにより、変更のメンテナンス作業が増加します（ビジネスコードが安定したら追加できます）。 第1層サーバー側（Web通信処理、「コントローラー」）：このルールはありませんが、ここではデータ操作とアセンブリ/解析エラーのみを処理する必要があると考えています（誕生日フィールドは有効な日付ではありません）。ここにさらに検証を追加すると、簡単に本当に退屈なプロセスになります。 第2層（ビジネス層）：堅実な検証、それ以下。入力データ形式、範囲、値、メソッドをいつでも呼び出せない場合の内部状態チェック、ユーザーの役割/権限など。できるだけ少ないユーザー入力データを使用し、必要に応じてデータベースから再度取得します。取得したデータベースデータも入力と見なす場合、特定のデータが信頼できないか、DBで十分に破損していることがわかっている場合にのみ検証します。 第3層（データ層/ DAL / DAO）：データにアクセスするのはビジネス層のみであるため、ここでは多くの検証が必要とは考えられません（「param1がtrueの場合、param2はnullであってはならない」などの場合に検証します）。ただし、「ここ」を意味する場合、「データベースにアクセスするコード」または「SQL実行メソッド」を意味することに注意してください。データベース自体はまったく逆です。 データベース（データモデル）：適切なプライマリキー、外部キー、制約、データ型/長さ/サイズを使用して、DB上の不正なデータや破損データを可能な限り回避するために、十分に考慮し、強力かつ自己強化する必要があります/ precisionなど-独自のプライベートディスカッションがあるため、このトリガーは除外します。 初期のデータ検証は優れており、パフォーマンス面でも優れていることは知っていますが、繰り返しデータ検証を行うのは退屈なプロセスであり、データ検証自体は非常に面倒です。これが、非常に多くのコーダーがそれをスキップするか、途中でやる理由です。また、常に同期されていない場合、重複する検証はすべてバグの可能性があります。これらは、時間、帯域幅、CPU、ケースバイケースで処理される例外を犠牲にして、ほとんどの検証をビジネス層まで許可することを好む主な理由です。 それで、あなたはこれについてどう思いますか？反対意見ですか？他の手順はありますか？そのようなトピックへの参照？寄付はすべて有効です。 注：物事のJavaの方法を考えている場合、私たちのアプリはSpring MVCとMyBatisを使用したSpringベースです（パフォーマンスと不良データベースモデルはORMソリューションを除外します）。Spring SecurityをセキュリティプロバイダーとJSR 303（Hibernate Validator？）として追加する予定です。 ありがとう！ 編集：第3層に関する追加の明確化。

27 development-process  language-agnostic  security  data  validation 

私はAPI構造のWebアプリケーションを作成していますが、このアプリケーションには独自の仕事をしているさまざまなレイヤーがあります。 最初のレイヤーはユーザー入力を検証する検証レイヤーであり、検証に合格した場合は2番目のレイヤー（アクセス制御レイヤー）に移動します。そうでない場合はエラーメッセージを返します 2番目の層は、ユーザーが実行したいタスクを実行する許可を持っているかどうかを確認するアクセス制御です。ユーザーが許可を持っている場合、要求を次の層に移動します。 3番目のレイヤーは、アプリケーションのロジックがあるコントローラーレイヤーです。 私の質問は、アクセス制御の前に検証レイヤーを持つことはOKですか？ユーザーが許可されていないタスクを実行しようとしており、検証エラーメッセージを送信している場合はどうなりますか？ユーザーはリクエストをエンドポイントに送信し、検証レイヤーと話します。検証に合格すると、メッセージが表示されます。You can't access this! 私には奇妙に感じますが、このようにうまくいくのでしょうか、それともインフラストラクチャの他の選択肢は何でしょうか？

24 validation  web-api  access-control 

そのため、カナダ、米国、インド、英国などのユーザーを含むグローバルユーザーに使用されるWebページを設計しています。この電話番号フィールドに検証を適用する必要がありますが、これを実行する最善の方法はわかりません。 私が考えることができるいくつかの有効な形式は次のとおりです。 1800123456（インド） 米国の電話番号での「-」の使用 ユーザーに入力を許可する必要がある特殊文字（たとえば、- / ()）について少し混乱しています。過去に他の人はこれをどのように解決しましたか？

20 javascript  validation  internationalization 

セキュリティリスクが中〜低のアプリ（つまり、バンキングアプリなどではない）のログインを作成する場合、ユーザーが入力したパスワードを次のように入力するだけで検証できますか。 if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); 効果的であるように簡単に思えますが、それが必要なすべてであるかどうか私は確かに気にしません。ユーザー名とパスワードのコンボを簡単にチェックするだけで十分ですか？ 更新：特定のプロジェクトはたまたまWebサービスであり、検証は完全にサーバー側であり、オープンソースではありません。ドメインは、これに対処する方法を変更しますか？

20 security  passwords  validation 

Spring Bootを使用してRest APIを作成し、Hibernate Validationを使用してリクエスト入力を検証しています。 しかし、他の種類の検証も必要です。たとえば、更新データを確認する必要がある場合、会社IDが存在しない場合は、カスタム例外をスローする必要があります。 この検証は、サービス層またはコントローラー層に配置する必要がありますか？ サービス層： public Company update(Company entity) { if (entity.getId() == null || repository.findOne(entity.getId()) == null) { throw new ResourceNotFoundException("can not update un existence data with id : " + entity.getId()); } return repository.saveAndFlush(entity); } コントローラー層： public HttpEntity<CompanyResource> update(@Valid @RequestBody Company companyRequest) { Company company = …

18 java  validation  spring 

まとめ： Cの関数は、NULLポインターを間接参照していないことを常に確認する必要がありますか？そうでない場合、これらのチェックをスキップするのが適切ですか？ 詳細： プログラミングのインタビューに関する本をいくつか読んでいますが、Cの関数引数の入力検証の適切な程度はどうなっているのでしょうか？明らかに、ユーザーから入力を受け取る関数は、NULL参照を解除する前にポインターをチェックするなど、検証を実行する必要があります。しかし、APIを介して公開することを期待しない同じファイル内の関数の場合はどうでしょうか？ たとえば、gitのソースコードには次のように表示されます。 static unsigned short graph_get_current_column_color(const struct git_graph *graph) { if (!want_color(graph->revs->diffopt.use_color)) return column_colors_max; return graph->default_column_color; } 場合*graphであるNULLヌル・ポインタは、おそらくプログラムをクラッシュが、おそらく他のいくつかの予期しない動作が得られ、逆参照されます。一方、関数はstaticそうなので、プログラマーはすでに入力を検証しているかもしれません。Cで書かれたアプリケーションプログラムの短い例であるため、ランダムに選択しただけです。NULLをチェックせずにポインターが使用される場所は他にもたくさんあります。私の質問は、一般にこのコードセグメントに固有のものではありません。 例外処理の文脈の中で同様の質問があるのを見ました。ただし、CやC ++などの安全でない言語では、未処理の例外の自動エラー伝播はありません。 一方、オープンソースプロジェクト（上記の例など）では、使用する前にポインターのチェックを行わないコードがたくさん見られました。関数にチェックを入れるタイミングと、関数が正しい引数で呼び出されたと仮定するタイミングに関するガイドラインについて誰かが考えているかどうか疑問に思っています。 私は本番コードを書くためにこの質問全般に興味があります。しかし、私はプログラミングインタビューのコンテキストにも興味があります。たとえば、多くのアルゴリズムの教科書（CLRなど）は、エラーチェックなしで擬似コードでアルゴリズムを提示する傾向があります。ただし、これはアルゴリズムの中核を理解するのには適していますが、明らかにプログラミングの実践としては適切ではありません。そのため、（教科書のように）コード例を単純化するためにエラーチェックをスキップしていることをインタビュアーに伝えたくありません。しかし、私はまた、過度のエラーチェックを伴う非効率なコードを生成するようには見えません。たとえば、null graph_get_current_column_colorをチェックするように変更された可能性があり*graphますが、*graphnullである場合の動作は明確ではありません。

18 c  validation  null 

私は間違いなくそうすべき ケースで100％乗っています、クライアント側とサーバー側の両方のデータ検証使用するます。 しかし、私が働いてきたフレームワークと環境では、私が見たアプローチは決して乾いたことはありませんでした。ほとんどの場合、計画やパターンはありません。検証はモデルの仕様に記述され、検証はビューのフォームに記述されます。（注：私の実際の経験のほとんどは、Rails、Sinatra、およびjQueryを使用したPHPに関するものです） それを熟考すると、検証のセット（モデル名、フィールド、条件など）が与えられると、必要なクライアント側とサーバー側の両方のマテリアルを生成できるジェネレーターを作成することは難しくないようです。あるいは、そのようなツールはサーバー側の検証（たとえば、validates ActiveRecordモデルのコード取得し、クライアント側の検証（フォームに適用されるjQueryプラグインなど）を生成できます。 明らかに、上記は単なる「このアイデアを思いついた」という考えであり、正式な提案ではありません。この種のことは、アイデアが思いついたときよりも確かに難しいです。 それで、データ検証のための「1回だけ書き込み、サーバーとクライアントで実行する」技術の設計にどのようにアプローチしますか？ 関連サブトピック：特定のフレームワークまたはクライアント/サーバーテクノロジーには、そのようなツールが存在しますか？1セットの検証のみを維持しようとする場合の大きな落とし穴や課題は何ですか？

17 design  validation  dry  client-server