解决 Express.js 中的路由传参问题-JavaScript中文网-JavaScript教程资源分享门户

在 Express.js 中，路由是一种非常常见的操作，它可以帮助我们将不同的请求映射到不同的处理函数上。然而，在实际开发中，我们经常需要在路由中传递参数，以便进行更加灵活的处理。但是，如果不正确地处理路由传参问题，就可能会导致程序出错或者安全问题。本文将详细介绍如何解决 Express.js 中的路由传参问题，以及一些最佳实践和注意事项。

路由传参的基本用法

在 Express.js 中，我们可以使用冒号（:）来定义一个带参数的路由，例如：

app.get('/users/:id', function(req, res) {
  var id = req.params.id;
  // ...
});

在上面的代码中，我们定义了一个路由 /users/:id，其中 :id 表示一个参数，它可以匹配任意字符串。当客户端请求 /users/123 时，Express.js 会自动将 123 作为参数传递给处理函数。

在处理函数中，我们可以通过 req.params 对象来获取传递的参数，例如 req.params.id 就可以获取到上面例子中的 123。

处理路由传参的最佳实践

虽然路由传参非常方便，但是如果不正确地处理，就可能会导致一些安全问题或者程序错误。下面是一些处理路由传参的最佳实践：

1. 验证参数的合法性

在处理路由传参时，我们应该始终验证参数的合法性，以防止一些安全问题。例如，假设我们有一个路由 /users/:id，如果用户传递了一个非法的 id，例如 ../etc/passwd，就可能会导致程序读取系统中的敏感文件。因此，我们应该始终验证参数的合法性，例如：

app.get('/users/:id', function(req, res) {
  var id = req.params.id;
  if (!/^\d+$/.test(id)) {
    res.status(400).send('Invalid id');
    return;
  }
  // ...
});

在上面的代码中，我们使用正则表达式来验证参数是否为数字，如果不是，就返回一个 400 错误。

2. 避免参数注入

除了验证参数的合法性外，我们还应该避免参数注入的问题。例如，假设我们有一个路由 /users/:id，如果用户传递了一个 id，例如 123; DROP TABLE users，就可能会导致程序执行 SQL 注入攻击。因此，我们应该使用参数化查询来避免参数注入的问题，例如：

app.get('/users/:id', function(req, res) {
  var id = req.params.id;
  db.query('SELECT * FROM users WHERE id = ?', [id], function(err, rows) {
    // ...
  });
});

在上面的代码中，我们使用参数化查询来将 id 转义为安全的 SQL 语句，从而避免了参数注入的问题。

3. 使用可选参数

除了必须的参数外，我们还可以定义一些可选的参数，以便进行更加灵活的处理。例如，假设我们有一个路由 /users/:id/posts，它可以获取指定用户的所有文章，但是我们还想支持根据发布时间、分类等参数进行筛选。这时，我们可以使用可选参数来实现，例如：

-- -------------------- ---- -------
--------------------------- ------------- ---- -
  --- -- - --------------
  --- ----- - ----------
  --- ----- - - -------- -- --
  -- ---------------- -
    -------------- - ---------------
  -
  -- ----------------------- -
    ------------------ - - ----- --------------------- --
  -
  ---------------- - ---- ----- ----- --- ------ ------------- ----- -
    -- ---
  ---
---

在上面的代码中，我们使用 req.query 对象来获取可选参数，例如 category 和 published_after，然后根据参数来构造 SQL 查询语句。

4. 使用命名路由

除了使用冒号来定义参数外，我们还可以使用命名路由来定义路由，以便进行更加灵活的处理。例如，假设我们有一个路由 /users/:id/posts/:post_id，它可以获取指定用户的指定文章，但是我们还想支持根据标签、评论等参数进行筛选。这时，我们可以使用命名路由来实现，例如：

-- -------------------- ---- -------
------------------------------------ ------------- ---- -
  --- -- - --------------
  --- ------- - -------------------
  --- ----- - ----------
  --- ----- - - -------- --- --- ------- --
  -- ----------- -
    ---------------- ------- ---- --------- ----- --- - --- ------------ ------------- ----- -
      -- ----- ----- ----
      -------- - ---------------------- - ------ ------------ ---
      ---------------- - ---- ----- ----- ------- - - --- -- -- ----- ---- ---------- ------------- ----- -
        -- ---
      ---
    ---
  - ---- -
    ---------------- - ---- ----- ----- --- ------ ------------- ----- -
      -- ---
    ---
  -
---

在上面的代码中，我们使用命名路由 :post_id 来获取文章 ID，然后根据可选参数 tag 来构造 SQL 查询语句。

结论

路由传参是 Express.js 中的一项基本操作，它可以帮助我们实现更加灵活的处理。然而，在处理路由传参时，我们必须注意参数的合法性和注入问题，以防止一些安全问题。同时，我们还可以使用可选参数和命名路由来实现更加灵活的处理。我们希望本文的内容能够帮助你更好地理解和处理 Express.js 中的路由传参问题。

示例代码

下面是一个完整的示例代码，它演示了如何实现一个简单的用户管理系统，包括注册、登录、修改密码等功能。在示例代码中，我们使用了路由传参、参数验证、参数化查询等技术。

-- -------------------- ---- -------
--- ------- - -------------------
--- ---------- - -----------------------
--- -- - ----------------

--- --- - ----------
------------------------------- --------- ----- ----

--------------------- ------------- ---- -
  --- -------- - ------------------
  --- -------- - ------------------
  --- ----- - ---------------
  --- ---- - -----------------------------------------------------------
  ---------------- ---- ----- ---------- --------- ------ ------ --- -- ---- ---------- ----- ------- ------------- ------- -
    -- ----- -
      ----------------------------------
    - ---- -
      -------------------- ---------------
    -
  ---
---

------------------ ------------- ---- -
  --- -------- - ------------------
  --- -------- - ------------------
  --- ---- - -----------------------------------------------------------
  ---------------- - ---- ----- ----- -------- - - --- -------- - --- ---------- ------ ------------- ----- -
    -- ----- -
      ----------------------------------
    - ---- -- ------------ --- -- -
      ----------------------------- -------- -- -----------
    - ---- -
      ---------------- -- ---------------
    -
  ---
---

------------------------------ ------------- ---- -
  --- -- - --------------
  --- ----------- - ---------------------
  --- ----------- - ---------------------
  --- ------- - --------------------------------------------------------------
  --- ------- - --------------------------------------------------------------
  ---------------- ----- --- -------- - - ----- -- - - --- -------- - --- --------- --- --------- ------------- ------- -
    -- ----- -
      ----------------------------------
    - ---- -- -------------------- --- -- -
      ----------------------------- ---- -- -- -----------
    - ---- -
      ------------------ ------- ---------------
    -
  ---
---

---------------- ---------- -
  ------------------- ------- -- ---- -------
---

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/6745d3c5f84d1ff1034a99f0