如何在Laravel中实现数据校验-Laravel-PHP中文网

在laravel中实现数据校验，核心在于使用内置验证器或推荐的表单请求类来保障数据完整性、安全性和业务逻辑正确性。1. 控制器内快速校验适用于简单场景，通过request()->validate()直接校验并自动处理错误重定向；2. validator facade提供更精细控制，适用于非http请求或需手动响应错误的场景；3. form request classes将校验逻辑与控制器分离，提升代码结构和复用性，是复杂场景推荐方式。数据校验能防止安全漏洞、确保数据一致性、提升用户体验并强制执行业务规则。常见规则如required、email、unique等可满足多数需求，自定义规则可通过规则对象、闭包或扩展validator实现。校验失败时，web应用通过session闪存错误并回显旧输入，api则返回422 json错误响应，同时支持自定义错误消息和字段名称提升提示友好度。

如何在Laravel中实现数据校验

在Laravel中实现数据校验，核心在于利用其内置的强大验证器（Validator）或更推荐的表单请求（Form Request）来确保传入应用的数据符合预设的规则，从而保障数据的完整性、安全性和业务逻辑的正确执行。

解决方案

Laravel的数据校验体系非常灵活，提供了多种途径来处理传入的数据。我个人在项目中，会根据校验的复杂度和复用性来选择不同的方式。

1. 控制器内快速校验 (request()->validate())

这是最简单直接的方式，适用于简单的表单或API请求。你可以在控制器方法中直接调用request()助手函数上的validate()方法。

// app/Http/Controllers/PostController.php

namespace App\Http\Controllers;

use Illuminate\Http\Request;

class PostController extends Controller
{
    public function store(Request $request)
    {
        $validatedData = $request->validate([
            'title' => 'required|unique:posts|max:255',
            'body' => 'required',
            'tags' => 'array',
            'tags.*' => 'string|max:50', // 校验数组中的每个元素
        ], [
            'title.required' => '标题是必填的，老铁！',
            'title.unique' => '这个标题已经有人用了，换一个吧。',
        ]);

        // 校验通过，数据会包含在 $validatedData 中
        // 你的业务逻辑...

        return redirect('/posts')->with('success', '文章发布成功！');
    }
}

登录后复制

如果校验失败，Laravel会自动将用户重定向回上一个页面，并把错误信息和旧的输入数据闪存到session中，这对于传统的Web应用非常方便。

2. 使用Validator Facade

当你需要更精细地控制校验过程，比如在非HTTP请求场景下校验数据，或者需要手动处理错误响应（例如为API返回JSON错误），Validator Facade就显得很有用了。

// app/Http/Controllers/UserController.php

namespace App\Http\Controllers;

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Validator;

class UserController extends Controller
{
    public function update(Request $request, $id)
    {
        $validator = Validator::make($request->all(), [
            'name' => 'required|string|max:255',
            'email' => 'required|email|unique:users,email,' . $id, // 忽略当前用户ID
            'password' => 'nullable|string|min:8|confirmed',
        ]);

        if ($validator->fails()) {
            // 对于API请求，通常返回JSON错误
            if ($request->expectsJson()) {
                return response()->json(['errors' => $validator->errors()], 422);
            }
            // 对于Web请求，可以手动重定向并带上错误
            return redirect()->back()->withErrors($validator)->withInput();
        }

        // 校验通过，获取干净的数据
        $validatedData = $validator->validated();

        // 更新用户逻辑...
        // User::find($id)->update($validatedData);

        return response()->json(['message' => '用户更新成功！']);
    }
}

登录后复制

这种方式给了你更多的主动权，你可以决定校验失败后如何响应。

3. Form Request Classes (推荐)

对于更复杂、需要复用或逻辑上更清晰的校验场景，我强烈推荐使用表单请求类。它将校验规则和授权逻辑从控制器中分离出来，让控制器保持精简，只专注于业务逻辑。

首先，创建一个表单请求：

php artisan make:request StoreBlogPostRequest

登录后复制

然后，在生成的请求类中定义规则和授权逻辑：

// app/Http/Requests/StoreBlogPostRequest.php

namespace App\Http\Requests;

use Illuminate\Foundation\Http\FormRequest;

class StoreBlogPostRequest extends FormRequest
{
    /**
     * 确定用户是否有权发出此请求。
     */
    public function authorize(): bool
    {
        // 比如，只有管理员或文章作者本人才能发布/编辑
        // return auth()->user()->isAdmin();
        // 或者简单地允许所有登录用户
        return true; // 默认情况下，如果所有人都允许，就返回 true
    }

    /**
     * 获取适用于请求的验证规则。
     *
     * @return array<string, \Illuminate\Contracts\Validation\Rule|array|string>
     */
    public function rules(): array
    {
        return [
            'title' => 'required|unique:posts|max:255',
            'body' => 'required',
            'category_id' => 'required|exists:categories,id',
            'published_at' => 'nullable|date',
        ];
    }

    /**
     * 获取自定义的验证消息。
     *
     * @return array<string, string>
     */
    public function messages(): array
    {
        return [
            'title.required' => '文章标题不能为空哦。',
            'title.unique' => '这个标题太热门了，已经被占用了。',
            'body.required' => '内容是文章的灵魂，不能没有呀！',
        ];
    }

    /**
     * 获取自定义属性名称，用于替换消息中的 :attribute 占位符。
     *
     * @return array<string, string>
     */
    public function attributes(): array
    {
        return [
            'title' => '文章标题',
            'body' => '文章内容',
            'category_id' => '文章分类',
        ];
    }
}

登录后复制

最后，在控制器方法中类型提示这个请求类：

// app/Http/Controllers/PostController.php

namespace App\Http\Controllers;

use App\Http\Requests\StoreBlogPostRequest; // 引入你的表单请求

class PostController extends Controller
{
    public function store(StoreBlogPostRequest $request)
    {
        // 校验和授权都在 StoreBlogPostRequest 中完成了
        // 校验通过后，直接获取校验过的数据
        $validated = $request->validated();

        // 你的业务逻辑...
        // Post::create($validated);

        return redirect('/posts')->with('success', '文章发布成功！');
    }
}

登录后复制

当控制器方法类型提示了StoreBlogPostRequest后，Laravel会自动在方法执行前运行该请求类的authorize()和rules()方法。如果授权失败，会返回403响应；如果校验失败，也会自动重定向或返回JSON错误，非常优雅。

为什么我们需要在Laravel中进行数据校验？

数据校验，这玩意儿在任何应用开发里，说它是基石都不过分。在Laravel里，它更是被设计得如此顺手，以至于你几乎没有理由不去用它。那到底为啥非得校验不可呢？

首先，安全是头等大事。想象一下，如果用户能随意提交任何格式的数据，你的数据库可能瞬间就乱套了，SQL注入、XSS攻击，这些安全漏洞简直是敞开大门欢迎。校验就像一道防火墙，把不合规的数据挡在外面，大大降低了潜在的风险。我见过不少新手项目，为了图快直接把用户输入往数据库里塞，结果没多久就出问题了，教训很深刻。

其次，数据完整性和一致性。你希望你的email字段里存的真的是邮箱格式，而不是一串乱码吧？你希望age字段真的是数字，并且在合理的年龄范围内吧？校验就是为了确保进入系统的数据符合你的业务模型和数据类型要求。这不仅仅是为了数据库好看，更是为了后续的业务逻辑能正确运行。如果数据本身就是错的，那后面所有的计算、展示都可能跟着出错，甚至引发连锁反应。

再来，提升用户体验。当用户提交表单，如果哪里填错了，你给他一个友好的提示：“邮箱格式不正确”或者“密码至少需要8位”，而不是一个冰冷的500错误页面，这体验简直是天壤之别。Laravel的校验系统自带错误消息和旧数据闪存，让错误提示变得非常自然和人性化，用户能很快知道问题出在哪儿，并进行修正。

最后，强制业务逻辑。有些时候，校验不仅仅是格式问题，它还承载着业务规则。比如“一个商品库存不能为负数”、“订单金额不能低于某个值”。通过在校验规则中加入min、max、unique甚至自定义规则，你可以直接在数据进入业务层之前就强制执行这些业务约束，避免了在业务逻辑代码中散落大量的if-else判断，让代码更清晰、更易维护。所以，校验这事儿，真不是可有可无的“好习惯”，它根本就是构建健壮应用的核心环节。

Laravel数据校验的常见规则和自定义校验

Laravel的校验规则非常丰富，几乎涵盖了日常开发中所有能想到的场景。但有时候，内置规则也无法满足所有奇葩的业务需求，这时候自定义校验就派上用场了。

常见规则速览：

required: 字段必须存在且不为空。
string / integer / numeric / boolean / array: 校验数据类型。
min:value / max:value: 长度（字符串、数组）或数值的最小/最大限制。
email: 校验是否为有效邮箱格式。
unique:table,column,except_id,id_column: 校验字段值在指定表中是否唯一。这在用户注册、更新资料时特别常用，比如更新用户邮箱时要忽略当前用户自己的邮箱。
confirmed: 校验字段（通常是密码）与其_confirmation字段是否一致。
exists:table,column: 校验字段值在指定表的指定列中是否存在。这对于外键关联非常有用，比如确保提交的category_id确实存在于categories表中。
url / active_url: 校验是否为有效URL，后者还会尝试检查DNS记录。
date / date_format:format: 校验日期格式。
in:foo,bar,...: 校验字段值是否在给定列表中。
regex:pattern: 使用正则表达式进行校验。
image / mimes:jpeg,png / max:size: 针对文件上传的校验。

这些只是冰山一角，Laravel文档里有完整的列表，值得花时间去翻阅。我通常会把这些常用规则记在脑子里，碰到具体需求时能快速反应过来用哪个。

自定义校验的艺术：

当内置规则不够用时，Laravel提供了几种方式来自定义校验逻辑，其中我最常用也最推荐的是自定义规则对象。

腾讯智影-AI数字人

基于AI数字人能力，实现7*24小时AI数字人直播带货，低成本实现直播业务快速增增，全天智能在线直播

查看详情

1. 自定义规则对象 (推荐)

这是Laravel 5.5+ 引入的特性，它让自定义规则变得非常OOP，可读性高，且易于复用。

php artisan make:rule IsStrongPassword

登录后复制

然后编辑这个规则类：

// app/Rules/IsStrongPassword.php

namespace App\Rules;

use Closure;
use Illuminate\Contracts\Validation\ValidationRule;

class IsStrongPassword implements ValidationRule
{
    /**
     * 运行验证规则。
     */
    public function validate(string $attribute, mixed $value, Closure $fail): void
    {
        // 密码必须包含至少一个大写字母，一个小写字母，一个数字，一个特殊字符，且长度至少8位
        if (!preg_match('/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]{8,}$/', $value)) {
            $fail("':attribute' 必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符，且长度至少为8位。");
        }
    }
}

登录后复制

在你的校验规则中使用它：

use App\Rules\IsStrongPassword;

// ...
public function rules(): array
{
    return [
        'password' => ['required', 'string', new IsStrongPassword()],
    ];
}

登录后复制

这种方式把复杂的校验逻辑封装起来，让你的rules()方法保持简洁。

2. 使用闭包 (Closure)

对于一次性的、不需复用的简单自定义逻辑，可以直接在规则数组中使用闭包。

use Illuminate\Validation\Rule;

// ...
public function rules(): array
{
    return [
        'product_code' => [
            'required',
            'string',
            function ($attribute, $value, $fail) {
                if (strlen($value) < 5 || strlen($value) > 10) {
                    $fail('产品代码长度必须在5到10个字符之间。');
                }
                // 假设这里有一些复杂的外部API调用来验证产品代码
                // if (! $this->checkProductCodeWithExternalApi($value)) {
                //     $fail('产品代码无效，请检查。');
                // }
            },
        ],
    ];
}

登录后复制

闭包非常灵活，可以直接访问到校验的字段名、值以及$fail回调，非常适合即时、上下文相关的校验。

3. 扩展Validator Facade (Validator::extend)

这种方式通常用于创建全局可用的、不依赖于特定上下文的自定义规则。它需要你在AppServiceProvider的boot方法中注册。

// app/Providers/AppServiceProvider.php

use Illuminate\Support\Facades\Validator;

public function boot(): void
{
    Validator::extend('foo', function ($attribute, $value, $parameters, $validator) {
        return $value == 'foo';
    }, 'The :attribute must be "foo".');
}

登录后复制

然后在规则中使用'foo'。不过，自从有了自定义规则对象，我个人很少再用Validator::extend了，因为规则对象在组织和管理上更胜一筹。

掌握这些自定义校验的方式，意味着你可以应对任何复杂的业务校验场景，让你的应用既灵活又健壮。

如何优雅地处理Laravel校验失败的错误信息？

处理校验失败的错误信息，这不仅仅是技术问题，更是用户体验的关键一环。一个好的错误提示能引导用户修正错误，而一个糟糕的提示可能让用户直接放弃。Laravel在这方面做得相当不错，提供了非常方便的机制。

1. Web应用中的错误回显

对于传统的Web应用，当request()->validate()或Form Request校验失败时，Laravel会自动将用户重定向回上一个页面，并将错误信息闪存到Session中。在Blade模板中，你可以非常方便地访问这些错误。

<!-- resources/views/posts/create.blade.php -->

<form method="POST" action="/posts">
    @csrf

    <div>
        <label for="title">文章标题</label>
        <input type="text" id="title" name="title" value="{{ old('title') }}">
        @error('title')
            <div class="text-red-500 text-sm mt-1">{{ $message }}</div>
        @enderror
    </div>

    <div>
        <label for="body">文章内容</label>
        <textarea id="body" name="body">{{ old('body') }}</textarea>
        @error('body')
            <div class="text-red-500 text-sm mt-1">{{ $message }}</div>
        @enderror
    </div>

    <!-- 如果有多个错误，可以这样遍历 -->
    @if ($errors->any())
        <div class="alert alert-danger">
            <ul>
                @foreach ($errors->all() as $error)
                    <li>{{ $error }}</li>
                @endforeach
            </ul>
        </div>
    @endif

    <button type="submit">发布文章</button>
</form>

登录后复制

old('field_name')：这个助手函数能帮你把上次提交的旧数据重新填充到表单字段中，用户就不用重新输入一遍了，非常贴心。
@error('field_name') ... @enderror：这是Blade的指令，它只会显示指定字段的第一个错误信息。如果你想展示所有错误，可以用$errors->any()和$errors->all()来遍历。

我个人觉得这种方式在开发初期非常高效，不用写额外的错误处理逻辑。

2. API中的JSON错误响应

对于API接口，我们不能简单地重定向。当校验失败时，通常需要返回一个标准的JSON格式错误响应，并附带HTTP状态码422（Unprocessable Entity）。

当你使用Validator::make()手动校验时：

use Illuminate\Support\Facades\Validator;

public function storeApi(Request $request)
{
    $validator = Validator::make($request->all(), [
        'name' => 'required|string|max:255',
        'email' => 'required|email|unique:users',
    ]);

    if ($validator->fails()) {
        return response()->json(['errors' => $validator->errors()], 422);
    }

    // 校验通过，业务逻辑...
    // User::create($request->all());

    return response()->json(['message' => '用户创建成功！'], 201);
}

登录后复制

$validator->errors()会返回一个MessageBag实例，它在转换为JSON时会变成一个对象，键是字段名，值是该字段的错误消息数组。

{
    "errors": {
        "name": [
            "名称是必填的。"
        ],
        "email": [
            "邮箱格式不正确。",
            "该邮箱已被注册。"
        ]
    }
}

登录后复制

如果你使用的是Form Request，Laravel会自动帮你处理这个，当请求头中包含Accept: application/json时，它会自动返回上述格式的JSON响应。这省去了很多重复的代码。

3. 自定义错误消息

默认的错误消息有时可能过于通用，不够友好。你可以为每个规则和字段自定义错误消息。

在validate()或Validator::make()中： 在规则数组后面传递一个消息数组。键的格式是field.rule。

$request->validate([
    'title' => 'required|unique:posts',
], [
    'title.required' => '文章标题不能为空！',
    'title.unique' => '这个标题已经被人抢先了，换个新的吧。',
]);

登录后复制

在Form Request类中： 在Form Request类中定义messages()方法。

// app/Http/Requests/StoreBlogPostRequest.php

public function messages(): array
{
    return [
        'title.required' => '请务必填写文章标题。',
        'title.unique' => '此标题已被占用，请尝试其他。',
        'body.required' => '文章内容是空的，这可不行。',
    ];
}

登录后复制

自定义属性名称 (attributes()方法)： 有时候错误消息中的:attribute占位符会显示原始的字段名（比如user_name），这可能不够友好。你可以在Form Request中定义attributes()方法来为字段提供更友好的显示名称。
```
// app/Http/Requests/StoreBlogPostRequest.php

public function attributes(): array
{
    return [
        'title' => '文章标题',
        'body' => '文章内容',
        'category_id' => '所属分类',
    ];
}
```
登录后复制
这样，默认的错误消息（如The :attribute field is required.）就会显示成“文章标题字段是必填的。”，用户体验会