在Laravel框架中,不可批量賦值是一個重要的安全特性,它有助於防止惡意使用者篡改資料庫資料。但是這個特性也有用途不明確的時候,造成了許多程式設計師的困惑。
在批次賦值時,程式設計師將表單資料直接透過create或update方法儲存到資料庫中。如果不進行任何驗證,由於有駭客攻擊、注入等嚴重威脅,那麼就會有極大的風險。為了解決這個問題,Laravel引入了一個特性,即禁止批量賦值。
不可批量賦值是指,在使用create或update方法的時候,如果沒有指定允許保存的字段,那麼程式會自動過濾掉所有非法的字段。這個特性不僅提高了程式的安全性,也加強了對程式設計師的開發約束:只有明確允許的欄位才能保存到資料庫中。
透過非常簡單的一行程式碼即可啟用這個特性。在需要禁止批量賦值的模型中使用$guarded屬性。
<?php
namespace App;
use Illuminate\Database\Eloquent\Model;
class User extends Model
{
protected $guarded = [];
}在範例中,$guarded屬性是一個空數組,表示所有的欄位都是可編輯的。
如果想要只允許保存特定的字段,可以將$guarded屬性設定為一個包含所有不允許編輯的字段的數組,或者使用$fillable屬性。
<?php
namespace App;
use Illuminate\Database\Eloquent\Model;
class User extends Model
{
protected $fillable = ['name', 'email', 'password'];
}更好的做法是在控制器中進行資料驗證,驗證後再儲存到資料庫。這樣可以避免一些誤操作和安全問題。
<?php
namespace App\Http\Controllers;
use App\User;
use Illuminate\Http\Request;
class UserController extends Controller
{
public function store(Request $request)
{
$validatedData = $request->validate([
'name' => 'required|string',
'email' => 'required|email|unique:users',
'password' => 'required|confirmed',
]);
$user = User::create($validatedData);
return back()->with('success', 'User created successfully.');
}
}這裡透過validate方法驗證了所有輸入的欄位。如果驗證成功,再儲存到資料庫中。以上程式碼不僅安全性高,而且程式碼也很優雅。
總的來說,Laravel的不可批量賦值是一個很完美的機制,能有效地提高程式的安全性。我們應該盡可能地利用這個特性,避免在開發中造成不必要的風險。
以上是laravel怎麼啟用「禁止批量賦值」特性的詳細內容。更多資訊請關注PHP中文網其他相關文章!
