laravel怎麼啟用「禁止批量賦值」特性

在Laravel框架中，不可批量賦值是一個重要的安全特性，它有助於防止惡意使用者篡改資料庫資料。但是這個特性也有用途不明確的時候，造成了許多程式設計師的困惑。

在批次賦值時，程式設計師將表單資料直接透過create或update方法儲存到資料庫中。如果不進行任何驗證，由於有駭客攻擊、注入等嚴重威脅，那麼就會有極大的風險。為了解決這個問題，Laravel引入了一個特性，即禁止批量賦值。

不可批量賦值是指，在使用create或update方法的時候，如果沒有指定允許保存的字段，那麼程式會自動過濾掉所有非法的字段。這個特性不僅提高了程式的安全性，也加強了對程式設計師的開發約束：只有明確允許的欄位才能保存到資料庫中。

透過非常簡單的一行程式碼即可啟用這個特性。在需要禁止批量賦值的模型中使用$guarded屬性。

<?php

namespace App;

use Illuminate\Database\Eloquent\Model;

class User extends Model
{
    protected $guarded = [];
}

在範例中，$guarded屬性是一個空數組，表示所有的欄位都是可編輯的。

如果想要只允許保存特定的字段，可以將$guarded屬性設定為一個包含所有不允許編輯的字段的數組，或者使用$fillable屬性。

<?php

namespace App;

use Illuminate\Database\Eloquent\Model;

class User extends Model
{
    protected $fillable = [&#39;name&#39;, &#39;email&#39;, &#39;password&#39;];
}

更好的做法是在控制器中進行資料驗證，驗證後再儲存到資料庫。這樣可以避免一些誤操作和安全問題。

<?php

namespace App\Http\Controllers;

use App\User;
use Illuminate\Http\Request;

class UserController extends Controller
{
    public function store(Request $request)
    {
        $validatedData = $request->validate([
            'name' => 'required|string',
            'email' => 'required|email|unique:users',
            'password' => 'required|confirmed',
        ]);

        $user = User::create($validatedData);

        return back()->with('success', 'User created successfully.');
    }
}

這裡透過validate方法驗證了所有輸入的欄位。如果驗證成功，再儲存到資料庫中。以上程式碼不僅安全性高，而且程式碼也很優雅。

總的來說，Laravel的不可批量賦值是一個很完美的機制，能有效地提高程式的安全性。我們應該盡可能地利用這個特性，避免在開發中造成不必要的風險。

以上是laravel怎麼啟用「禁止批量賦值」特性的詳細內容。更多資訊請關注PHP中文網其他相關文章！