ThinkPHP3.1版增加了表單提交的字段合法性檢測,可以更好的保護數據的安全性。這一特性是3.1安全特性中的一個重要部分。
表單字段合法性檢測需要使用create方法創建數據對象的時候才能生效,具體有兩種方式:
一、屬性定義
可以給模型配置insertFields 和 updateFields屬性用於新增和編輯表單設置,使用create方法創建數據對象的時候,不在定義范圍內的屬性將直接丟棄,避免表單提交非法數據。
insertFields 和 updateFields屬性的設置采用字符串(逗號分割多個字段)或者數組的方式,例如:
class UserModel extends Model{
protected $insertFields = array('account','password','nickname','email');
protected $updateFields = array('nickname','email');
}
設置的字段應該是實際的數據表字段,而不受字段映射的影響。
在使用的時候,我們調用create方法的時候,會根據提交類型自動識別insertFields和updateFields屬性:
D('User')->create();
使用create方法創建數據對象的時候,新增用戶數據的時候,就會屏蔽'account','password','nickname','email' 之外的字段,編輯的時候就會屏蔽'nickname','email'之外的字段。
下面是采用字符串定義的方式,同樣有效:
class UserModel extends Model{
protected $insertFields = 'account,password,nickname,email';
protected $updateFields = 'nickname,email';
}
二、方法調用
如果不想定義insertFields和updateFields屬性,或者希望可以動態調用,可以在調用create方法之前直接調用field方法,例如,實現和上面的例子同樣的作用:
在新增用戶數據的時候,使用:
$User = M('User');
$User->field('account,password,nickname,email')->create();
$User->add();
而在更新用戶數據的時候,使用:
$User = M('User');
$User->field('nickname,email')->create();
$User->where($map)->save();
這裡的字段也是實際的數據表字段。field方法也可以使用數組方式。
使用字段合法性檢測後,你不再需要擔心用戶在提交表單的時候注入非法字段數據了。顯然第二種方式更加靈活一些,根據需要選擇吧!
