ThinkPHP3.1版增加了表單提交的字段合法性檢測(cè)，可以更好的保護(hù)數(shù)據(jù)的安全性。這一特性是3.1安全特性中的一個(gè)重要部分。

表單字段合法性檢測(cè)需要使用create方法創(chuàng)建數(shù)據(jù)對(duì)象的時(shí)候才能生效，具體有兩種方式：

一、屬性定義

可以給模型配置insertFields 和 updateFields屬性用于新增和編輯表單設(shè)置，使用create方法創(chuàng)建數(shù)據(jù)對(duì)象的時(shí)候，不在定義范圍內(nèi)的屬性將直接丟棄，避免表單提交非法數(shù)據(jù)。

insertFields 和 updateFields屬性的設(shè)置采用字符串（逗號(hào)分割多個(gè)字段）或者數(shù)組的方式，例如：

class UserModel extends Model{
  protected $insertFields = array('account','password','nickname','email');
  protected $updateFields = array('nickname','email');
 }

設(shè)置的字段應(yīng)該是實(shí)際的數(shù)據(jù)表字段，而不受字段映射的影響。

在使用的時(shí)候，我們調(diào)用create方法的時(shí)候，會(huì)根據(jù)提交類型自動(dòng)識(shí)別insertFields和updateFields屬性：

D('User')->create();

使用create方法創(chuàng)建數(shù)據(jù)對(duì)象的時(shí)候，新增用戶數(shù)據(jù)的時(shí)候，就會(huì)屏蔽'account','password','nickname','email' 之外的字段，編輯的時(shí)候就會(huì)屏蔽'nickname','email'之外的字段。

下面是采用字符串定義的方式，同樣有效：

class UserModel extends Model{
  protected $insertFields = 'account,password,nickname,email';
  protected $updateFields = 'nickname,email';
 }

二、方法調(diào)用

如果不想定義insertFields和updateFields屬性，或者希望可以動(dòng)態(tài)調(diào)用，可以在調(diào)用create方法之前直接調(diào)用field方法，例如，實(shí)現(xiàn)和上面的例子同樣的作用：

在新增用戶數(shù)據(jù)的時(shí)候，使用：

$User = M('User');
$User->field('account,password,nickname,email')->create();
$User->add();

而在更新用戶數(shù)據(jù)的時(shí)候，使用：

$User = M('User');
$User->field('nickname,email')->create();
$User->where($map)->save();

這里的字段也是實(shí)際的數(shù)據(jù)表字段。field方法也可以使用數(shù)組方式。

使用字段合法性檢測(cè)后，你不再需要擔(dān)心用戶在提交表單的時(shí)候注入非法字段數(shù)據(jù)了。顯然第二種方式更加靈活一些，根據(jù)需要選擇吧！

最新評(píng)論