17370845950

输入校验的核心目的是防止程序崩溃、误算或被恶意利用；需对字符串、数字、布尔值等手动转换并异常捕获，如用isdigit()校验正整数、strip()去空格、小写比对处理布尔输入。

输入校验的核心目的

不是为了“拦住用户”，而是防止程序因非法数据崩溃、误算或被恶意利用。比如用户输入字母却要转成整数，不校验就直接 int(input()) 会抛出 ValueError；又比如邮箱字段传入 SQL 注入语句，没过滤可能危及数据库。

基础类型校验：字符串、数字、布尔值

Python 没有内置的“强类型输入”机制，所有 input() 返回的都是字符串，必须手动转换并捕获异常：

• 数字类：用 try/except 尝试转换，失败则提示重输
• 字符串长度/空格：用 .strip() 去首尾空格，再检查 len(text) > 0
• 布尔逻辑（如“y/n”、“是/否”）：统一转小写后比对白名单，避免大小写或全角字符干扰

示例：安全读取正整数

while True:
    s = input("请输入一个正整数：").strip()
    if not s.isdigit():
        print("❌ 输入不是纯数字，请重试")
        continue
    n = int(s)
    if n <= 0:
        print("❌ 必须大于0，请重试")
        continue
    break
print(f"合法输入：{n}")

格式化校验：邮箱、手机号、日期等

这类校验靠正则表达式最直接。不要追求 100% 符合 RFC 标准，重点覆盖常见合法格式并拒绝明显非法输入：

立即学习“Python免费学习笔记（深入）”；

• 邮箱：匹配 xxx@yyy.zzz 结构，本地部分不含连续点、不以点开头/结尾
• 手机号（国内）：用 ^1[3-9]\d{9}$ 判断 11 位且号段合理
• 日期（YYYY-MM-DD）：先用正则粗筛，再用 datetime.date.fromisoformat() 精确验证是否真实存在

注意：正则只是第一道防线，业务规则（如“注册年龄需满18岁”）必须在格式通过后再单独判断。

防注入与可信边界处理

用户输入永远不可信。即使做了类型和格式校验，仍要防范间接风险：

• 拼接 SQL 时，绝不用 f-string 或 % 格式化插入用户输入，改用参数化查询（如 sqlite3 的 ? 占位符）
• 输出到 HTML 或命令行前，若含用户文本，考虑转义（如 html.escape()）或使用模板引擎自动处理
• 文件路径操作中，避免直接用用户输入拼接 open(filename)，应限定根目录并用 os.path.realpath() 检查是否越界

校验不是一次性的动作，而是贯穿输入→处理→输出全过程的防御意识。