## 7.12\. 驗證 你可能已經發現，程序中有一個嚴重的安全漏洞：用戶可以提供任意的路徑在服務器上執行讀寫操作。為了消除這個問題，我們使用正則表達式驗證頁面的標題。 首先，添加"regexp"到導入列表。然后創建一個全局變量存儲我們的驗證正則表達式： 函數regexp.MustCompile解析并且編譯正則表達式，返回一個regexp.Regexp對象。和template.MustParseFile類似，當表達式編譯錯誤時，MustCompile拋出一個錯誤，而Compile在它的第二個返回參數中返回一個os.Error。 現在，我們編寫一個函數，它從請求URL解析中解析頁面標題，并且使用titleValidator進行驗證： ``` func getTitle(w http.ResponseWriter, r *http.Request) (title string, err os.Error) { title = r.URL.Path[lenPath:] if !titleValidator.MatchString(title) { http.NotFound(w, r) err = os.NewError("Invalid Page Title") } return } ``` 如果標題有效，它返回一個nil錯誤值。如果無效，它寫"404 Not Found"錯誤到HTTP連接中，并且返回一個錯誤對象。 修改所有的處理函數，使用getTitle獲取頁面標題： ``` func viewHandler(w http.ResponseWriter, r *http.Request) { title, err := getTitle(w, r) if err != nil { return } p, err := loadPage(title) if err != nil { http.Redirect(w, r, "/edit/"+title, http.StatusFound) return } renderTemplate(w, "view", p) } func editHandler(w http.ResponseWriter, r *http.Request) { title, err := getTitle(w, r) if err != nil { return } p, err := loadPage(title) if err != nil { p = &page{title: title} } renderTemplate(w, "edit", p) } func saveHandler(w http.ResponseWriter, r *http.Request) { title, err := getTitle(w, r) if err != nil { return } body := r.FormValue("body") p := &page{title: title, body: []byte(body)} err = p.save() if err != nil { http.Error(w, err.String(), http.StatusInternalServerError) return } http.Redirect(w, r, "/view/"+title, http.StatusFound) } ```