解决TryUpdateModel对象为空的问题

最新推荐文章于 2025-11-08 10:07:24 发布
转载 最新推荐文章于 2025-11-08 10:07:24 发布 · 193 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/h-change/p/5104581.html

本文详细介绍了在MVC框架中,当尝试更新模型时,如果视图上的文本控件未填写值,则对应实体属性为空的问题,并提供了解决方案。通过使用属性[DisplayFormat(ConvertEmptyStringToNull=false)],可以避免数据库字段不允许为空时的保存问题。

MVC中的TryUpdateModel确实给开发带来不少便利,但是如果绑定在View上的文本控件没有填写值的时候,再执行TryUpdateModel对应的实体属性就会为空。

如果数据库中对应的字段不允许为空的话,就会产生保存。

对于这个问题可以使用属性:

[DisplayFormat(ConvertEmptyStringToNull = false)]

 

作者:黄昌
出处:http://www.cnblogs.com/h-change/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接,否则保留追究法律责任的权利。

转载于:https://www.cnblogs.com/h-change/p/5104581.html

精通ASP.NET MVC ——模型绑定
机械键盘侠博客
07-18 1045
模型绑定(Model Binding)是指,用浏览器以Http请求方式发送的数据来创建.Net对象的过程。 准备示例项目 新建一个的MVC项目,叫MvcModels,接下去会以此项目来演示各种功能。 在Models文件夹中创建一个Person.cs类文件,代码如下图所示: namespace MvcModels.Models { public class Person ...
Page.TryUpdateModel 方法
weixin_30618985的博客
11-04 127
使用来自提供程序的更新指定的模型实例。 使用来自提供程序的更新指定的模型实例。 命:System.Web.UI程序集:System.Web(System.Web.dll 中) 重载列表 称说明 TryUpdateModel<TModel>(TModel) 使用来自数据绑定控制的...
使用TryUpdateModel进行数据更新
weixin_30783913的博客
05-08 267
  在控制器中可以使用TryUpdateModel或者UpdateModel方法来对指定的数据Model进行更新,如图所示的更新操作。 POST请求数据如下所示 使用如下代码就可以对指定的字段进行更新 使用TryUpdateModel或者UpdateModel方法可以省去我们对Action中的参数绑定,使用该方法可以自动为我们修改Model上同的属...
Asp.Net MVC TryUpdateModel使用说明
weixin_30260399的博客
08-24 433
修改功能每个网站里都有,也有很多写法 写法1:要修改的字段刚好等于表中的字段      [HttpPost] [ValidateAntiForgeryToken] public ActionResult Edit(admin model) { if (ModelState.IsValid) ...
TryUpdateModel的使用
芝麻麻雀-Asp.Net学习之路
10-07 2702
TryUpdateModel进行更新实体时,如果返回为false。可以使用 var errors = ModelState.Select(y =&gt; y.Value.Errors); 查找是哪个属性出现了问题。 另外: ModelState.IsValid和TryUpdateModel是一致的,如果在TryUpdateModel时出现错误,ModelState.IsValid也会变成...
UpdateModelTryUpdateModel用法总结
weixin_30621959的博客
07-10 1017
  当操作中有参数时,模型绑定会隐式工作。也可以使用控制器中的UpdateModelTryUpdateModel来进行显示绑定。   若绑定期间有错或者模型无效,那么UpdateModel方法会抛出一个异常。    public ActionResult Edit([Bind(Include = "ID,Name")] Product product) ...
const formData = new FormData(); Object.keys(data.field).forEach(key => { formData.append(key, data.field[key]); }); if (files && files.length > 0) { files.forEach(file => { formData.append('attachments', file); }); } 在后端如何分别接受aplly表 和文件列表
07-29
3. **关联保存**:通常先保存Apply对象,获取其主键Id,再为每个Attachment设置ApplyId,然后保存附件。 ### 优化:使用视图模型 可以创建一个视图模型,包含Apply信息和文件列表,但文件上传通常需要分开处理...
深入理解ASP.NETCore中的模型绑定
模型绑定是使用HTTP请求中的创建.NET对象的过程,它为操作方法和Razor页面提供了对所需数据的便捷访问。以下是关于模型绑定的一些常见问题及解答: | 问题 | 答案 | | ---- | ---- | | 是什么? | 模型绑定是利用...
58、Windows应用开发与ASP.NET技术全解析
最新发布
w8x9y0z1的博客
11-08 17
本文全面解析了Windows 8 XAML应用开发与ASP.NET多种技术栈,涵盖布局感知页面、实时磁贴、搜索与共享合约的实现,深入讲解ASP.NET Web Forms、MVC及Web Pages三种服务器端开发模型,并介绍了HTML、CSS、JavaScript、jQuery、AJAX和响应式设计等前端核心技术,为开发者提供从桌面到Web的全栈开发指导。
探索LINQ与ADO.NETEntityFramework的数据绑定与分页功能
例如,为获取当前流派的评论集合,可借助 `BulletedList` 控件处理数据源,从每个评论对象中提取标题并显示在列表里。完成 `Repeater` 控件的设置和查询定义后,需启动数据绑定流程,示例代码如下: ```csharp ...
ASP.Net MVC 前台数据绑定到后台TryUpdateModel方法
ryancao530的博客
12-29 683
ASP.Net MVC TryUpdateModel方法 Binding属性 Model Binding 在使用上非常方便,Model在进行Binding动作时,不管Model有多少字段,只要窗体有字段都会自动进行Binding动作。但是正常情况下可能出于安全原因,不会把整个数据表的内容完全展示给用户端,设置黑白单可以解决这个问题。 BindAttribute有两个主要属性 1.Exclude:设置不允许进行绑定的属性称列表; 2.Include:设置允许进行绑定的属性臣列表; public Acti
解决asp.net mvc UpdateModel更新对象后出现null问题的方法
weixin_30843605的博客
09-23 284
在用asp.net mvc 4.0做项目的时候遇到的这种情况:情况分析:“在填写表单的时候,有一些表单没有填写,留,然后直接post 提交表单,action中用UpdateModel 来更新model,结果发现那些没有填写的表单字段全部变成null。”原因分析:项目中做了判断null不能提交更新到数据库中,所以导致一直提交不上去后来网上查了一下找到了解决办法,我在这里分享一下,方便以后...
ASP.NET MVC 使用TryUpdateModel 更新的技巧
weixin_34060299的博客
10-15 912
有使用 ASP.NET MVC 的朋友應該會對於 TryUpdateModel 有一定的認知,他不但可以利用 Metadata 來做欄位的驗證確保資料的正確性,也可以指定更新的條件以及不更新的條件來達到萬用的功能,因為他的好用所以 demo 也是經常使用他,但是使用的時候多少會覺得每次都要指定欄位很麻煩嗎?這裡告訴大家一個小技巧,讓你的 TryUpdateModel 更順手。 Tr...
IntelliJ IDEA设置方法注释模板并解决入参和返回问题
热门推荐
五道口
04-28 1万+
简介 网上的说设置方法注释的模板很多,尝试了很多方法后,发现在方法体外生成的模板入参和返回都是null,而放到方法体内的入参和返回就可以自动生成。苦试N次,终于发现诀窍。Idea的这个设置真的不太人性化,建议完善。此设置浪费了自己很多时间,固分享于此,望助你解决问题。本方法适用于IntelliJ IDEA 2019.3 x64及之后版本(截止到发稿日期最新版:2020.03版)应该都可以使...
数据详情非判断
weixin_45677987的博客
03-08 154
1: 点击按钮事件: editEquipmentProperty() { // 如果不存在,则拦截提示 if (!this.model.deviceType) { this.$Modal.warning({ title: "提示", content: "请先选择设备类型", }); return; } // 弹框显示 this.showEquipmentPropertyDialog = true; this.equip.
输入验证:直接绑定敏感字段,问题处理
09-04
<think> 我们正在讨论输入验证中的直接绑定敏感字段问题。在Web开发中,直接绑定敏感字段指的是将用户提交的表单数据直接绑定到模型(如数据库模型)上,而没有进行适当的过滤或验证,这可能导致恶意用户修改他们本不应该修改的字段(如角色、权限、账户余额等)。这种问题通常称为“Mass Assignment”或“Over-Posting”漏洞。 处理方法: 1. 使用白单机制:只允许绑定指定的安全字段。例如,在更新用户信息时,只允许更新用户和邮箱,而不允许更新角色字段。 2. 使用黑单机制:明确排除敏感字段,但这种方法容易遗漏,不推荐。 3. 在数据绑定层进行控制:许多框架提供了绑定控制机制。例如: - 在ASP.NET MVC中,可以使用`[Bind(Include="field1,field2")]`属性或`[Bind(Exclude="sensitiveField")]`属性,但更推荐使用`TryUpdateModel`时指定字段。 - 在Rails中,可以使用`params.require(:model).permit(:field1, :field2)`进行强参数设置。 - 在Laravel中,可以使用`$request->only(['field1', 'field2'])`或定义验证规则时指定字段。 4. 使用数据传输对象(DTO)或视图模型(View Model):不要直接使用领域模型绑定,而是创建专用的模型用于表单提交,只包含可编辑的字段。 5. 在业务逻辑层或控制器层进行显式赋:即手动从表单数据中提取允许的字段,然后赋给模型。 示例(使用视图模型): 假设我们有一个用户模型,包含用户、邮箱和角色字段。在编辑用户信息时,我们不希望角色字段被随意修改。 步骤: 1. 创建视图模型: ```csharp public class UserEditViewModel { public string UserName { get; set; } public string Email { get; set; } } ``` 2. 在控制器中,将视图模型绑定到视图,更新时使用视图模型接收数据,然后手动将数据赋给用户模型: ```csharp [HttpPost] public IActionResult Edit(int id, UserEditViewModel model) { var user = _userRepository.Get(id); if (user == null) { return NotFound(); } // 仅更新允许的字段 user.UserName = model.UserName; user.Email = model.Email; _userRepository.Update(user); return RedirectToAction("Index"); } ``` 这样,即使表单中包含角色字段,由于视图模型不包含该字段,绑定过程中会自动忽略,从而避免了敏感字段被修改。 相关问题: 1. 除了直接绑定敏感字段,输入验证还有哪些常见的安全问题? 2. 如何使用DTO(数据传输对象)来避免直接绑定敏感字段? 3. 在RESTful API中如何防止Mass Assignment攻击? 4. 如何设计安全的用户更新接口? </think> ### 输入验证中直接绑定敏感字段问题的处理方法 在处理用户输入时,直接绑定敏感字段(如`isAdmin`、`balance`等)会导致严重的安全漏洞(称为Mass Assignment或Over-Posting)。以下是核心处理方法: #### 1. **白单机制(首选方案)** ```csharp // ASP.NET Core示例:仅允许绑定指定字段 [HttpPost] public IActionResult UpdateUser(int id, [Bind("Name,Email")] User user) { // 只会绑定Name和Email字段 } ``` - **原理**:显式声明允许绑定的字段列表,拒绝其他所有字段 - **框架支持**: - Rails:`params.require(:user).permit(:name, :email)` - Laravel:`$request->only(['name','email'])` - Spring:`@InitBinder`设置允许字段[^1] #### 2. **DTO模式(推荐架构)** ```java // Java/Spring示例:使用专用数据传输对象 public class UserUpdateDTO { private String name; private String email; // 无敏感字段 } @PostMapping("/users/{id}") public void updateUser(@RequestBody UserUpdateDTO dto) { // 手动复制安全字段到实体 } ``` - **优势**:隔离领域模型与输入层,彻底避免敏感字段暴露 #### 3. **黑单机制(谨慎使用)** ```ruby # Rails示例:排除敏感字段 params.require(:user).except(:admin_role) ``` - **风险**:易遗漏字段,不推荐作为主要方案 #### 4. **框架层防护** - Laravel:自动防护`$fillable`/`$guarded`属性 - Django:表单类显式定义字段`class Meta: exclude = ['balance']` - Node.js:使用`pick`库过滤字段`pick(req.body, ['name','email'])` #### 5. **审计与监控** - 日志记录所有绑定操作 - 部署WAF规则检测可疑字段(如包含`admin`、`role`等) - 使用SAST工具扫描代码中的绑定漏洞[^2] > **关键原则**:采用最小权限绑定,默认拒绝所有字段,仅显式允许必要字段。优先使用白单+DTO组合方案可提供最强防护[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值