Где правильнее проверять пользовательские данные? В контроллере или модели?

Question

[Shua_inc]

Пишу свой велосипед (на вопрос зачем отвечать отказываюсь). Хочется сделать максимально "правильно". Сейчас леплю валидацию форм, вот и возник такой вопрос - где грамотрее ее разместить? Модель, контроллер или вообще отдельный класс? Если отдельный - то опять же, где его использовать?

Comments

[Иван]

Автор, срочно принимай чью-то сторону и принимай сам для себя решения из уже сказанного, т.к. сказано много. Ссылку на "классику" я скинул. А то разгорается ХОЛЛИИИВАААР! :)

[MegaMufa]

Иван: В холивате рождается истина!

Answer 1

[Иван]

За работу с данными должна отвечать модель. Именно модель должна знать какие данные допустимы, а какие нет, потому что на ней лежит функция обработки/записи этих самых данных.
У контролера цель - обрабатывать пользовательские запросы и решать, как на них ответить.
Иными словами, вы принимаете данные с формы контролером и говорите модели сказать валидные ли данные пришли. Модель отвечает контролеру, контролер принимает решение, как на это ответить пользователю (ошибкой, каким-то конкретным представлением и т.п.).
UPDATE
MVC советую всем прочесть, прежде, чем давать странные советы. Особенно внимательно прочесть "Наиболее частые ошибки", как раз говориться, что делать из контролера Толстый Тупой Уродливый Контролер - не правильно по определению шаблона. Можно спорить сколько угодно, но об этом прямо многие авторитеты. Другое мнение сформировано отсутствием глубокого понимания MVC и малым опытом на крупных проектах.

Comments

[Алексей Уколов]

Не всегда. Одну и ту же модель могут представлять несколько разных форм с разными правилами валидации.

[Алексей Уколов]

Мне, например, нравится подход Laravel 5

[Иван]

Алексей Уколов: Это никак не противоречит. Укажи сценарий для модели и она будет проверять частные правила для формы, или еще что-то придумай. Факт в том, что это уже в компетентности модели, а не контролера.

[MegaMufa]

Алексей Уколов: Значит делайте модели форм и в них описывайте правила валидации.

[Алексей Уколов]

Иван: Если под "моделью" понимать вообще всю бизнес-логику приложения, то да, конечно :)
А вот если "моделью" считать описание какой-то сущности, то я не согласен. Сущность не должна знать о существовании каких-то там внешних форм.

[Александр Талалаев]

Тупой уродливый контроллер и проверка ввода в контроллере связана только если для проверки данных в контроллер заходит и бизнес логика. Поэтому правильно так: в общем случае проверка ввода в контроллере, а в частном случае зависит от проекта, точнее модели и бизнес логики, поэтому и может размещена быть в моделе. При этом может быть несколько валидаторов(пример со стаквоерфлоу): ошибка в юзернейме(например можно только латиницу) - валидатор в контроллере, а вот юзернейм уже занят - валидатор в модели.

[Иван]

HaruAtari: Создается базовая модель, она получает исходные данные. Если какую-то форму нужно как-то по особому валидировать, то мы наследуемся от базовой модели и в ней делаем проверки, либо просто при передачи данных в модель сообщаем, что она пришла с "такой-то" формы. Модель ОБЯЗАНА сама уже решать, что с этим делать дальше . Проверки из модели мы можем делать сервисами, компонентами, хелперами, валидаторами ... хоть чем, НО в рамках конкретной модели. Все модели в рамках одного проекта должны иметь конкретный интерфейс. Контролер должен просто получить ответ от модели, типа "Всё хорошо", или "Телефон должен быть цифрами, и формат емайла некоректный". Контролеру всё ровно, КАК модель это делает, его задача что-то ответить на запрос пользователя.

[MegaMufa]

Иван: Модель не обязательно должна являться только сущностью.

[Иван]

Александр Талалаев: Да не зависит это от проекта, это зависит от квалификации программиста, который пишет. Валидацию на клиенте так же без труда можно прописывать в правилах валидации модели и она будет отрабатывать первично на клиенте, и так же на сервере.
Алексей Уколов: Модель не описывать ТОЛЬКО сущность, но включает в себя её описание и знание о ней. Но помимо самой сущности модель так же знает, как с этой сущностью работать.
HaruAtari: Я этого не говорил.

[Александр Талалаев]

Иван я только хотел писать только апдейт, так как по правилам хорошего тона mvc правы вы, но в практике часть валидации модели отрывается от общей бизнес логике и скорее в угоду производительности ФИЗИЧЕСКИ выходит частью контроллера и грубого гвооря и происходят внутри его, до непосредственного начала работы модели. Конечно же тут нужно быть аккуратным и не раздувать сам контроллер, чтобы не было того эффекта что вы написали в виде раздутого контролера.

[Иван]

Александр Талалаев: если такой подход использовать, то где-то обязательно раздуется. А если использовать в некоторых экшенах один подход, в некоторых другой, то это пипец какой-то :) Это и называется, что зависит не от проекта, а от квалификации программиста.
Хорошо, пример.
Вы должны свалидировать данные о файле и сохранить его. Вы это сделали в 3 строчки в контролере(по факту в нескольких контролерах и еще наверняка в нескольких экшенах), и вроде всё окей. Проект развивается и нам уже нужно писать не себе на диск, а по АПИ. Поздравляю, вы встряли.
В случае следования сразу правильной парадигме, мы просто меняем описание сущности(а может даже и его не придется менять) и меняем процесс валидации/записи в моделе.
Патерны, парадигмы и "бест практикс" созданны именно для предотвращения "казусов", с которыми уже вдоволь навстречались профессионалы.

По поводу того, что иногда производительнее делать это в контролере - и да, и нет. Вообще производительнее писать на Си или асемблере, будет пользы в несколько раз точно больше, чем экономить на одном вызове и создании доп. объекта.

[MegaMufa]

Александр Талалаев: А чем это поможет производительности? Если вы предлагаете делать так, что бы не создавать экземпляр модели, если валидация провалится, то это глупо. Прикиньте, сколкьо объектов создается просто для инициализации фремворка.
Производитьельность можно поднять кучей более продуктивных методов, причем не портящих архитектуру приложения.

[Александр Талалаев]

вы правы на 100%, это я уже путаюсь в терминах. В любом случае валидация остается частью модели, как ни крути. И конечно же я не настаивал на реализации кода валидации именно в контроллере.
В общем в голове у меня немного закружилось. самое интересное я делаю все как пишет Иван и выходит вобще глупый спор, так что стыдно за глупые высказывания.

[phpus]

Чел, я знаю что к чему. Я написал ему, что бы он хоть как-то начал мыслить. И я давно перестал использовать mvc.

[Иван]

Анатолий K: Уточнений про МПК(раз вам не нравится оригинальное "иностранное" словечко) не было, но из исходных данных нам известно только про наличие модели, контролера и формы, которая наверняка является представлением, а так же упомянут некий "вообще отдельный класс". Походу это МПК с DI или сервис локатором :)

[Иван]

phpus: Тогда закономерный вопрос без последующего холивара - что используете вместо mvc ?

[Lakewake]

Алексей Уколов: +1 за Laravel

Answer 2

[Сергей Просвирнин]

Мне кажется лучше создать отдельные классы для валидации данных(Helper...) и вызывать их в контроллере. По сути такие классы также являются моделями с какой-то стороны. Контроллер не должен сам работать с данными.

Answer 3

[FanatPHP]

Ларавель предлагает проверять прямо в роутере
Что снова подтверждает мою мысль о том, что раут в Ларавели - это тот самый тонкий контроллер, о котором так много говорили большевики, конроллер - это модель, а модель - это тупо драйвер БД (ОРМ), используемый моделью.

Comments

[MegaMufa]

Вот кстати да. В большинстве php фреймворков модель представляют как простую надстройку для бд, а не то, что она есть на самом деле. Из-за этого и контроллеры распухают.

[Иван]

Распухают контролеры из-за не правильного понимания программистами их. Практически во всех крупных фреймворках(симфони2, yii2, зенды) реализовано всё правильно, но то, как их используют ...
Ларавель не видел, но валидировать прямо в роуте - это что-то новенькое :)

[Тимофей]

Иван: наверное, имеется в виду, что у сегмента пути можно тип указать, не более. А че, тоже ведь валидация)

Answer 4

[Александр Талалаев]

Контроллер. Хотя конечно бывают и модели(тут скорее на более низком уровне) с автоматической проверкой данных, но это все же контроллер.
UPD
Вот хороший пример:
Валидация никнейма, только латиница.
Проверка на латиницу - в контроллере.
Проверка на дубль с уже существующим - в модели, часть бизнес логики.
Я считаю что из-за ошибки в вводе(когда ввели кириллицу) зазря загружать модель, который часто монстр, не нужно. Быстро и просто отсечь в контроллере.
Иван прав в том что структурно это все же модель, но физически в проектах ситуации разные. Я уточню что я больше говорил про отсечение стандартных ситуаций, которые от модели практическине зависят. В целям производительности их можно и выносит в контроллер, опять таки скорее как руками(контроллер) взяли посмотрели и увидели это ключ до вставки в замочну скважину(модель и основная бизнес логика). А ведь глаза в данном случае смотрят на модель(замочная скважина) и выходит они часть модели.
Так что в целом на 100% прав Иван, при проектировании нужно понимать что любая валидация это часть модели, просто иногда кажется что это часть контроллера или даже представления, но то всего лишь интерфейсы оьбращения через контроллер к модели.
Так что валидация это: получили данные, контроллер знает к какой модели их давать, у модели должен быть инструмент валидации, далее он возвращает результат ну и мы решаем что и как.
Я просто поспешил сказав что валидация часть контроллера, но то что она вызывается в контроллере не отменяет того факта что это часть модели.

Answer 5

[Lakewake]

Встречал такой вариант: модель содержит правила валидации, отдельный класс по ним проверяет юзерский данные в контроллере.

Comments

[Александр Талалаев]

Ну в модель обычно входит валидация если это часть бизнес логики, в обычном случае это таки работа контроллера. На самом деле валидация бывают и в представлении, когда реализуется при помощи js, но для серьезных дел это не достаточно.

[phpus]

Александр Талалаев: Проверенные данных на клиенте, ради забавы и правильность ввода, что бы не терять время) А так все на серваке должно...

[Александр Талалаев]

phpus: на клиенте больше не ради забавы, а скорее для дополнительного удобства пользователя и частичного снижения нагрузки, когда меньше проверок отсылается на сервак.

[phpus]

Александр Талалаев: я это и имел в виду, что бы из-за неправильного email не ждать пару мс.

Answer 6

[Anton Kolesnikov]

Да, в контроллере с помощью модели.

Answer 7

[MegaMufa]

Я считаю, что "толстая модель, тонкий контроллер" - это самый подходящий вариант.
Вся логика приложения должна содержаться в моделях. Модель - это не просто сущности из бд, это еще и инкапсулированая логика ее обработки. А контроллер должен говорить модели, что делать и рендерить вьюхи.

Например этот кусок кода неправильный:

class MyController
{
    public function myAction()
    {
        $user = new User();
        $user->load($_POST);
        if ($user->valiadate()) {
            $user->saveToDatabase();
        } else {
            throw new Exception("...");
        }
    }
}

Неправильный потому что контроллер знает, как модель сохраняет данные. Что сначала идет валидация, а потом сохранение в бд. И если вы потом решите не проводить валидацию, или добавить еще один проверяющий метод (например), то вам придется делать это везде.

Правильно быдет так: в модели определеить метод, содержащий логику:

class User
{
    public static function create(array $data)
    {
        $record= new static;
        $record->load($data);
        if($record->validate()){
            $record->saveToDatabase();
        } else {
            throw new Exception("...");
        }
        
        return $record;
    }
}

А в контроллере просто дергать его и передавать туда данные:

class MyController
{
    public function myAction()
    {
        $user = User::create($_POST);
    }
}

Таким образом все логика работы модели (в том числе валидация) инкапсулирована снутри класса, и другие классы не знают, как это происходит.

Такой подход облегчает сопровождение кода а так же облегчает написание тестов.

Comments

[Иван]

Первый пример, который Вы привели из yii2 правильнее и удобнее второго. А правильные оба с точки зрения MVC. В первом случае больше гибкости. Контролер спросил у модели правильные ли данные пришли от пользователя, модель ответила, контролер принял решение, как на это реагировать и что ответить клиенту. Во втором случае нам придется для каждого экшена все частные случаи тащить в модель, это жесть :) НО оба примера правильные

[MegaMufa]

Иван: Такой подход касается не только Yii, но любоко фреймворка с ActiveRecord.
Эта проверка должна быть в модели потому что ее наличие может зависеть от обстоятельств. Например (утрировано) для админа валидация не проводится.

Про какие частные случаи вы говорите? Я не совсем понимаю.

[Иван]

Ну смотрите. В первом случае мы можем более "тонко" реагировать на процесс. Например, у нас есть совершенно разные варианты использования модели: где-то она лишь поле в составе некой сложной формы, где-то целая форма, где-то еще что-то. В первом случае контролер лишь спрашивает модель - "Пойдут такие данные?". Причем, даже в случае утвердительного ответа модели, дальнейшие действия могут быть самые разные, не обязательно нам нужно будет сразу сохранять, могут быть другие данные, которые еще тоже следует проверить, в зависимости от запроса. В этом случае всё это мы должны учесть в рамках модели, что будет слишком сложно и неудобно.
В контролере всё проще - мы узнали у модели примет ли она такие данные, она сказала, что да, мы затем узнали у следующей модели что-то, затем сопоставили это как-то с информацией о запросе/клиенте(эта информация в компетенции контролера), и если надо, то говорим моделям сохранить, или что-то сохраняем, на что-то определенным образом отвечаем клиенту.

Для примера давайте приведем экшн, который принимает некую форму. Если к нему обращаемся аяксом, то он валидирует и отдает json-ответ, если обычным запросом, то валидирует, сохраняет и отдает хтмл-ответ. В случае первого примера делается просто - мы валидируем через модель, затем проверяем запрос и либо сразу отвечаем, либо говорим модели сохранить и затем отвечаем с хтмл-рендером. А если в модели ? То мы начинаем перекладывать на модель немного лишнее, хотя опять таки, это можно сделать в рамках парадигмы, но реализация, согласитесь, не самая красивая получится. Таких примеров в построении бизнес-приложений сплошь и рядом.

[MegaMufa]

Иван: Ну точно. Я уже много лет пишу только REST серверы. Тут, как правило, все действия атомарны. Поэтому все в модель фигачим, а она в случае ошибки бросает нужное исключение. Исключения передаются на клиент в виде подходящего окда и списка ошибок.

Для обычного сайта, вы правы, будет правильно описать правила в модели, но спрашивать у нее непосредственно из контроллера.

Answer 8

[Андрей Андреев]

В Ruby On Rails валидация идет в модели, в контроллере мы пытаемся создать объект и проверяем если проходит валидацию, то все ок одно действие, если не проходит то отдаем ошибки, или рендерим форму с ошибками.

Answer 9

[Shua_inc]

Не ожидал честно говоря такого эффекта))
Из всего написанного я сделал следующие выводы:
Контроллер должен тупо передавать данные модели. А та уже творит с ними все что заблагорассудится.
Собственно валидатор может быть реализован как метод модели, так и отдельный класс, но вызываться должен именно в модели.
На сколько такой подход оптимален - зависит от конкретного проекта, но он максимально соответствует концепции MVC.

Comments

[Иван]

Всё так!
На будущее, если хотите подобного эффекта, то можете спросить - "какой фреймворк более крутой: yii2 или симфони2", так же можете еще спросить что-то типа - "Что лучше взять обычный эйсер или мак" :)

[Иван]

Еще можете отметить правильные ответы, это всегда приветствуется :)

Answer 10

[Иван Поликарпов]

Интересный вопрос.
В документации CodeIgniter библиотека валидации подключается и используется в контроллере:

<?php

class Form extends CI_Controller {

        public function index()
        {
                $this->load->helper(array('form', 'url'));

                $this->load->library('form_validation');

                if ($this->form_validation->run() == FALSE)
                {
                        $this->load->view('myform');
                }
                else
                {
                        $this->load->view('formsuccess');
                }
        }
}

Документация
Соответственно, я в своих проектах всегда так и делаю...