Walidacja formularzy w ASP.NET

pytanie zadane 5 czerwca 2019 w C# przez Michał_Warmuz Mądrala (5,830 p.)

Cześć Mam pytanie ponieważ tworze prostego bloga i chciałbym zrobić walidacje formularza dodania postu

Do Modelu dodałem atrybuty ale nie działa co jeszcze musze zrobić ?

            <form asp-action="Edit" asp-controller="Panel" method="post">
                Tytuł: <input type="text" asp-for="Post.Tytuł" />
                <label>
                    Kategoria:
                    <select asp-for="Post.KategoriaId">
                        <option value="1">C++</option>
                        <option value="2">NET</option>
                        <option value="3">CSS</option>
                        <option value="4">ANGULAR</option>
                        <option value="5">C#</option>
                        <option value="6">HTML</option>
                        <option value="7">JAVASCRIPT</option>
                        <option value="8">SQL</option>
                        <option value="9">VISUAL STUDIO</option>
                    </select>
                </label>
                <textarea asp-for="Post.Cialo"> </textarea>
                <input type="submit" value="Dodaj" />
            </form>

        public int PostId { get; set; }
        [Required(ErrorMessage = "Podaj kategorie")]
        public int KategoriaId { get; set; }
        [Required(ErrorMessage = "Podaj tytuł")]
        public string  Tytuł { get; set; }
        [Required(ErrorMessage = "Musisz podać zawartość postu")]
        [MinLength(100, ErrorMessage = "Minimum 100 znaków")]
        public string  Cialo { get; set; }
        public string Autor { get; set; } = "Michał Warmuz";
        public DateTime DataUtworzenia { get; set; } = DateTime.UtcNow;

2 odpowiedzi

odpowiedź 5 czerwca 2019 przez mrspock1 Mądrala (6,420 p.)

Takie ogólne uwagi podam, bo szczegóły poszukaj w literaturze.

Zwyczajne sprawdzenie wymaga usunięcia znaków sterujących html, java script i podobnych które są we wpisie. Gdyby taki wpis się później wyświetlił, to te znaki sterujące aktywują kod jaki jest we wpisie i wykonają go, co może co najmniej zawiesić stronę u osoby która ją otworzy. Te znaki sterujące nie trzeba całkiem usuwać, tylko zamienić je na ich odpowiedniki które je tylko wyświetlają. Tych znaków sterujących jest tylko kilkanaście, więc łatwo taką procedurę zrobić.

Wszystkie te problemy powstają tylko wtedy gdy twój program wyświetla wpis użytkownika.

Do logowania użytkownika tez musisz się zabezpieczyć. Najlepiej żeby login i hasło było przekazane przez parametry dla uniknięcia inject sql.

Zrób test w postaci zamiany przez użytkownika kodu strony i wpisaniu dodatkowych rzeczy, zmiennych itp których nie ma w twoim programie. Program powinien zareagować na to komunikatem, a nie zawiesić się.