输入校验的核心目的是防止程序崩溃、误算或被恶意利用;需对字符串、数字、布尔值等手动转换并异常捕获,如用isdigit()校验正整数、strip()去空格、小写比对处理布尔输入。
输入校验的核心目的
不是为了“拦住用户”,而是防止程序因非法数据崩溃、误算或被恶意利用。比如用户输入字母却要转成整数,不校验就直接 int(input()) 会抛出 ValueError;又比如邮箱字段传入 SQL 注入语句,没过滤可能危及数据库。
基础类型校验:字符串、数字、布尔值
Python 没有内置的“强类型输入”机制,所有 input() 返回的都是字符串,必须手动转换并捕获异常:
- 数字类:用 try/except 尝试转换,失败则提示重输
- 字符串长度/空格:用 .strip() 去首尾空格,再检查 len(text) > 0
- 布尔逻辑(如“y/n”、“是/否”):统一转小写后比对白名单,避免大小写或全角字符干扰
示例:安全读取正整数
while True:
s = input("请输入一个正整数:").strip()
if not s.isdigit():
print("❌ 输入不是纯数字,请重试")
continue
n = int(s)
if n <= 0:
print("❌ 必须大于0,请重试")
continue
break
print(f"合法输入:{n}")
格式化校验:邮箱、手机号、日期等
这类校验靠正则表达式最直接。不要追求 100% 符合 RFC 标准,重点覆盖常见合法格式并拒绝明显非法输入:
立即学习“Python免费学习笔记(深入)”;
动态WEB网站中的PHP和MySQL:直观的QuickPro指南第2版
下载
动态WEB网站中的PHP和MySQL详细反映实际程序的需求,仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法,让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能,对常用的、强大的包
- 邮箱:匹配 xxx@yyy.zzz 结构,本地部分不含连续点、不以点开头/结尾
- 手机号(国内):用 ^1[3-9]\d{9}$ 判断 11 位且号段合理
- 日期(YYYY-MM-DD):先用正则粗筛,再用 datetime.date.fromisoformat() 精确验证是否真实存在
注意:正则只是第一道防线,业务规则(如“注册年龄需满18岁”)必须在格式通过后再单独判断。
防注入与可信边界处理
用户输入永远不可信。即使做了类型和格式校验,仍要防范间接风险:
- 拼接 SQL 时,绝不用 f-string 或 % 格式化插入用户输入,改用参数化查询(如 sqlite3 的 ? 占位符)
- 输出到 HTML 或命令行前,若含用户文本,考虑转义(如 html.escape())或使用模板引擎自动处理
- 文件路径操作中,避免直接用用户输入拼接 open(filename),应限定根目录并用 os.path.realpath() 检查是否越界
校验不是一次性的动作,而是贯穿输入→处理→输出全过程的防御意识。
