使用 Servlet 和 JSP 验证数字

我在学习 Web 开发的同时正在开发一个小型 Servlet 和 JSP 应用程序。

我有一个关于 jsp 和 servlet 之间的验证和传递值的问题。

我有一个“啤酒”类，具有“评级”属性（双精度类型）。

加载“edit.jsp”的 servlet 创建一个 Beer 对象并从数据库加载当前值。

BeerDAO beerdao = new BeerDAO();
Beer beer = beerdao.getBeer(id);            
request.setAttribute("beer", beer);

在 JSP 中，对象按以下方式显示：

...
<td class="left">Beer Name:</td>
<td><input type="text" name="name" value="${beer.name}"/></td>
...
<td class="left">Rating:</td>
<td><input type="text" name="rating" value="${beer.rating}"/></td>
...

现在，当我将表单提交到“更新”servlet 时，每个属性都会得到验证。对于“评级”属性，我将其转换为双精度值。

如果我在验证中发现错误（即：评级值是字母，而不是数字），我想返回到包含用户输入的值和错误消息的表单。问题是，我需要请求中的 Beer 对象显示在表单中，但我无法将“评级”值传递给它，因为它的类型不正确。所以现在我正在将用户播种回具有空评级的表单。

我猜我做错了。那么，验证数字并返回编辑表单的正确方法是什么？

最基本的方法是有一个Map<String, String>在请求范围内，其中键表示字段名称，值表示验证错误（如果有）。

BeerDAO beerdao = new BeerDAO();
Beer beer = beerdao.getBeer(id);            
request.setAttribute("beer", beer);
// ...

Map<String, String> messages = new HashMap<String, String>();
request.setAttribute("messages", messages);
// ...

String rating = request.getParameter("rating");
if (rating == null) {
    messages.put("rating", "Please enter rating");
} else if (!rating.matches("\\d+")) {
    messages.put("rating", "Please enter numbers only");
} else {
    beer.setRating(Integer.valueOf(rating));
}

// ...

然后在视图中

<input name="rating" value="${empty messages.rating ? beer.rating : param.rating}" />
<span class="error">${messages.rating}</span>

当没有消息（因此验证已通过）时，条件表达式将显示啤酒评级，否则将显示用户提交的值作为请求参数。

无关针对具体问题，重新显示用户提交的数据而不进行 XML 转义很容易出现XSS http://en.wikipedia.org/wiki/Cross-site_scripting attacks http://ha.ckers.org/xss.html。我强烈建议安装JSTL https://stackoverflow.com/tags/jstl/info并使用fn:escapeXml() http://download.oracle.com/javaee/5/jstl/1.1/docs/tlddocs/fn/escapeXml.fn.html函数来转义值。

<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>   
...
<input name="rating" value="${fn:escapeXml(empty messages.rating ? beer.rating : param.rating)}" />