浏览 667 次
|
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
最后更新时间:2008-01-25
问题是这样:
我的一个 Action 中有一个类型为 User 的属性 user,并且有方法 getUser 和 setUser。还有一个 save 方法负责把 user 保存的数据库。 在页面 userEdit.jsp 中有一系列的 user.field 输入组件。 这样用户是否可以手动写一个页面并且提交到 Action 的 save 方法,如果可以,那么用户就可以更改其他不应该让他更改的 user 了。 一般这个问题是如何解决的,如果在更新到数据库前手动写代码检测好像不是非常优雅。 还是应该把 user 属性分解,如 getId getUsername getName setName,这样可以把有些 field 设置为只读,但是工作量好像挺大。 声明:JavaEye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
|
| 返回顶楼 | |
|
最后更新时间:2008-01-25
关注,你总结得很好,呵呵,还真的有这么麻烦, 我没用过struts,不知道是否可以考虑使用 model2模式的过滤器!.
|
| 返回顶楼 | |
|
最后更新时间:2008-01-25
一般不要把与数据库有关的操作同时放在action中,而是单独提取出来,然后在action中调用那个方法,这样这种问题就没有了;
|
| 返回顶楼 | |
|
最后更新时间:2008-01-25
是否有权限更改是必须检查的,需要根据传入的id从数据库抓取,确保当前用户有权限对这个对象进行操作。你说的第2个关于保护field的问题,可以通过parameter filter interceptor来解决:
http://struts.apache.org/2.x/docs/parameter-filter-interceptor.html 不过我个人觉得它这个interceptor还不够简洁,应该可以通过基于model的定义文件来分离,这样就不需要写重副代码了。 |
| 返回顶楼 | |
|
最后更新时间:2008-01-25
1.可以单独写一个dto作为传入的参数。
2.可以把传入的user手动转换成另外一个合法user。 3.可以写一个拦截器,用配置的方式控制可以传入哪些参数,这种方法可以精确到方法级别,可以写anno让拦截器来读取。 |
| 返回顶楼 | |
|
最后更新时间:2008-01-25
差沙 写道 1.可以单独写一个dto作为传入的参数。
2.可以把传入的user手动转换成另外一个合法user。 3.可以写一个拦截器,用配置的方式控制可以传入哪些参数,这种方法可以精确到方法级别,可以写anno让拦截器来读取。 2 ~= 如果在更新到数据库前手动写代码检测好像不是非常优雅。 1 ~= 还是应该把 user 属性分解,如 getId getUsername getName setName,这样可以把有些 field 设置为只读,但是工作量好像挺大。 方法 3 不错,能否有个简单的例子代码供参考一下,我刚开始使用 struts2,不是很熟悉。以前用 struts1 的时候都手动getParameter() 也就不存在这个问题。 |
| 返回顶楼 | |
