在laravel框架中,不可批量賦值是一個重要的安全特性,它有助于防止惡意用戶篡改數據庫數據。但是這個特性也有用途不明確的時候,造成了許多程序員的困惑。
在批量賦值時,程序員將表單數據直接通過create或者update方法保存到數據庫中。如果不進行任何驗證,由于存在黑客攻擊、注入等嚴重威脅,那么便會有極大的風險。為了解決這個問題,Laravel引入了一個特性,即禁止批量賦值。
不可批量賦值是指,在使用create或者update方法的時候,如果沒有指定允許保存的字段,那么程序會自動過濾掉所有非法的字段。這個特性不僅提高了程序的安全性,也加強了對程序員的開發約束:只有明確允許的字段才能保存到數據庫中。
通過非常簡單的一行代碼即可啟用這個特性。在需要禁止批量賦值的模型中使用$guarded屬性。
<?php namespace App; use IlluminateDatabaseEloquentModel; class User extends Model { protected $guarded = []; }
在例子中,$guarded屬性是一個空數組,意味著所有的字段都是可編輯的。
如果想要只允許保存特定的字段,可以將$guarded屬性設置為一個包含所有不允許編輯的字段的數組,或者使用$fillable屬性。
<?php namespace App; use IlluminateDatabaseEloquentModel; class User extends Model { protected $fillable = ['name', 'email', 'password']; }
更好的做法是在控制器中進行數據驗證,驗證后再保存到數據庫中。這樣可以避免一些誤操作和安全問題。
<?php namespace AppHttpControllers; use AppUser; use IlluminateHttpRequest; class UserController extends Controller { public function store(Request $request) { $validatedData = $request->validate([ 'name' => 'required|string', 'email' => 'required|email|unique:users', 'password' => 'required|confirmed', ]); $user = User::create($validatedData); return back()->with('success', 'User created successfully.'); } }
這里通過validate方法驗證了所有輸入的字段。如果驗證成功,再保存到數據庫中。以上代碼不僅安全性高,而且代碼也很優雅。
總的來說,Laravel的不可批量賦值是一個很完美的機制,能有效地提高程序的安全性。我們應該盡可能地利用這個特性,避免在開發中造成不必要的風險。
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
