本文實例形式展示了ThinkPHP中的create方法與自動令牌驗證的實現方法,具體步驟如下:
一、數據表結構
user表結構如下:
id username password
二、view模板部分
\aoli\Home\Tpl\default\User\create.html頁面如下:
<form action="__URL__/addit" method="post"> <input type="text" name="id" /> <input type="text" name="username" /> <input type="password" name="password" /> <input type="submit" name="sub" value="提交" /> </form>
三、action部分:
\aoli\Home\Lib\Action.php頁面如下:
<?php
class UserAction extends Action {
function create(){
$this->display();
}
function addit(){
//向表user中添加表單內容
$user=M('user');
$user->create();
$user->add();
//判斷是否存在令牌驗證
if(!$user->autoCheckToken($_POST)){
dump('no');
}else{
dump('yes');
}
}
?>
1、在對表單提交過來的數據進行操作之前,我們往往需要手動創建需要的數據,例如上面提交的表單數據:
//實例化User模型
$user=M('user');
//獲取表單的POST數據
$data['username']=$_POST['username']
$data['password']=$_POST['password']
//寫入到數據庫
$user->data($data)->add();
附:使用data方法創建的數據對象不會進行自動驗證和過濾操作,需要自行處理,如果只是想簡單創建一個數據對象,並且不需要完成一些額外的功能的話,可以使用data方法簡單的創建數據對象。
2、ThinkPHP可以幫助我們快速地創建數據對象,最典型的應用就是自動根據表單數據創建數據對象。create方法創建的數據對象是保存在內存中的,並沒有實際的寫入到數據庫中。
//實例化user模型
$user=M('user');
//根據表單提交的POST數據創建數據對象,並保存在內存中,可以通過dump($user)查看
$user=create();
//把創建的數據對象寫入數據庫中
$user->add();
3、create方法支持從其它方式創建數據對象,如,從其它的數據對象或者數組等。
$data['name']='ThinkPHP'; $data['eamil']='[email protected]'; $user->create($data); 甚至還可以支持從對象創建新的數據對象,如從user數據對象創建新的member數據對象 $user=M('user'); $user->find(1); $member=M('member'); $member->create($user);
4、create方法在創建數據對象的同時,還完成了一些很有意義的工作,包括令牌驗證、數據自動驗證、字段類型查找,數據自動完成等。
因些,我們熟悉的令牌驗證、自動驗證和自動完成功能,其實都必須通過create方法才能生效。
5、令牌驗證:
功能:可以有效防止表單的遠程提交等安全防護。
config.php中添加如下配置:
'TOKEN_ON' => true, //是否開啟令牌驗證 'TOKEN_NAME' => 'token',// 令牌驗證的表單隱藏字段名稱 'TOKEN_TYPE' => 'md5',//令牌驗證哈希規則
自動令牌會向當前SESSION會話當中放上一個md5加密的字符串。並將這個字符串以隱藏域的形式插入到表單的form之前。這個字符串出現在兩個地方,一個是在SESSION當中,另一個就是在表單當中。當你提交表單後,服務器第一件事就是對比這個SESSION信息,如果正確的話,准許表單提交,否則不允許提交。
查看create.html的的源代碼會看到在表單form的結束標志之前會多了一個自動生成的隱藏域
<input type="hidden" name="token" value="eef419c3d14c9c93caa7627eedaba4a5" />
(1)、如果希望自己控制隱藏域的位置,可以手動在表單頁面添加 {__TOKEN__} 標識,系統會在輸出模板的時候自動替換。
(2)、如果在開啟表單令牌驗證的情況下,個別表單不需要使用令牌驗證
功能,可以在表單頁面添加 {__NOTOKEN__} ,則系統會忽略當前表單的令牌驗證。
(3)、如果頁面中存在多個表單,建議添加 {__TOKEN__} 標識,並確保只有一個表單需要令牌驗證。
(4)、如果使用create方法創建數據對象的話,會同時自動進行表單驗證,如果沒有使用該方法的話,則需要手動調用模型的autoCheckToken方法進行表單驗證。
if (!$User->autoCheckToken($_POST)){
// 令牌驗證錯誤
}
希望本文所示實例對大家的ThinkPHP程序設計有所幫助。
1.create方法可以對POST提交的數據進行處理(通過表中的字段名稱與表單提交的名稱對應關系自動封裝數據實例),例如user表中有一個字段名叫"username",如果表單中有一個<input name="username" value="小明">,那麼$User = M('User'); $data = $User->create(); echo $data['username'];就會輸出"小明",不用你用$_POST['username']去接收。
2.用create方法可以對表單進行令牌驗證,防止表單重復提交。
3.可以對數據自動驗證,前提是你必須手動在Model文件夾中建立一個UserModel.class.php文件,在其中加入驗證規責
protected $_validate = array(
array('username','require','用戶名必須', 1),
);
4.可以對字段自動賦值,前提還是必須手動在Model文件夾中建立一個UserModel.class.php文件,在其中加入
protected $_auto = array(
array('create_time','time',self::MODEL_INSERT,'function'),
);
那麼user的注冊時間將自動賦值為當前時間
附上create方法的源碼:
/**
* 創建數據對象 但不保存到數據庫
* @access public
* @param mixed $data 創建數據
* @param string $type 狀態
* @return mixed
*/
public function create($data='',$type='') {
// 如果沒有傳值默認取POST數據
if(empty($data)) {
$data = $_POST;
}elseif(is_object($data)){
$data = get_object_vars($data);
}
// 驗證數據
if(empty($data) || !is_array($data)) {
$this->error = L('_DATA_TYPE_INVALID_');
return false;
}
// 檢查字段映射
$data = $this->parseFieldsMap($data,0);
// 狀態
$type = $type?$type:(!empty($data[$this->ge......余下全文>>
ThinkPHP新版內置了表單令牌驗證功能,可以有效防止表單的遠程提交等安全防護。
表單令牌驗證相關的配置參數有:'TOKEN_ON'=>true, // 是否開啟令牌驗證'TOKEN_NAME'=>'__hash__', // 令牌驗證的表單隱藏字段名稱'TOKEN_TYPE'=>'md5', //令牌哈希驗證規則默認為MD5如果開啟表單令牌驗證功能,系統會自動在帶有表單的模板文件裡面自動生成以TOKEN_NAME為名稱的隱藏域,其值則是TOKEN_TYPE方式生成的哈希字符串,用於實現表單的自動令牌驗證。自動生成的隱藏域位於表單Form結束標志之前,如果希望自己控制隱藏域的位置,可以手動在表單頁面添加 標識,系統會在輸出模板的時候自動替換。如果在開啟表單令牌驗證的情況下,個別表單不需要使用令牌驗證功能,可以在表單頁面添加{__NOTOKEN__},則系統會忽略當前表單的令牌驗證。如果頁面中存在多個表單,建議添加標識,並確保只有一個表單需要令牌驗證。模型類在創建數據對象的同時會自動進行表單令牌驗證操作,如果你沒有使用create方法創建數據對象的話,則需要手動調用模型的autoCheckToken方法進行表單令牌驗證。如果返回false,則表示表單令牌驗證錯誤。例如:$User = M("User"); // 實例化User對象// 手動進行令牌驗證if (!$User->autoCheckToken($_POST)){// 令牌驗證錯誤
