首頁 >php框架 >Laravel >laravel怎麼啟用「禁止批量賦值」特性

laravel怎麼啟用「禁止批量賦值」特性

PHPz
PHPz原創
2023-04-09 00:30:02667瀏覽

在Laravel框架中,不可批量賦值是一個重要的安全特性,它有助於防止惡意使用者篡改資料庫資料。但是這個特性也有用途不明確的時候,造成了許多程式設計師的困惑。

在批次賦值時,程式設計師將表單資料直接透過create或update方法儲存到資料庫中。如果不進行任何驗證,由於有駭客攻擊、注入等嚴重威脅,那麼就會有極大的風險。為了解決這個問題,Laravel引入了一個特性,即禁止批量賦值。

不可批量賦值是指,在使用create或update方法的時候,如果沒有指定允許保存的字段,那麼程式會自動過濾掉所有非法的字段。這個特性不僅提高了程式的安全性,也加強了對程式設計師的開發約束:只有明確允許的欄位才能保存到資料庫中。

透過非常簡單的一行程式碼即可啟用這個特性。在需要禁止批量賦值的模型中使用$guarded屬性。

<?php

namespace App;

use Illuminate\Database\Eloquent\Model;

class User extends Model
{
    protected $guarded = [];
}

在範例中,$guarded屬性是一個空數組,表示所有的欄位都是可編輯的。

如果想要只允許保存特定的字段,可以將$guarded屬性設定為一個包含所有不允許編輯的字段的數組,或者使用$fillable屬性。

<?php

namespace App;

use Illuminate\Database\Eloquent\Model;

class User extends Model
{
    protected $fillable = [&#39;name&#39;, &#39;email&#39;, &#39;password&#39;];
}

更好的做法是在控制器中進行資料驗證,驗證後再儲存到資料庫。這樣可以避免一些誤操作和安全問題。

<?php

namespace App\Http\Controllers;

use App\User;
use Illuminate\Http\Request;

class UserController extends Controller
{
    public function store(Request $request)
    {
        $validatedData = $request->validate([
            'name' => 'required|string',
            'email' => 'required|email|unique:users',
            'password' => 'required|confirmed',
        ]);

        $user = User::create($validatedData);

        return back()->with('success', 'User created successfully.');
    }
}

這裡透過validate方法驗證了所有輸入的欄位。如果驗證成功,再儲存到資料庫中。以上程式碼不僅安全性高,而且程式碼也很優雅。

總的來說,Laravel的不可批量賦值是一個很完美的機制,能有效地提高程式的安全性。我們應該盡可能地利用這個特性,避免在開發中造成不必要的風險。

以上是laravel怎麼啟用「禁止批量賦值」特性的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn