laravel中模型中$fillable的用法

最新推荐文章于 2025-05-27 17:55:19 发布
最新推荐文章于 2025-05-27 17:55:19 发布
阅读量451 收藏 4
点赞数 6
文章标签: laravel oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaikaile1995/article/details/148193423
版权

在Laravel框架中,$fillable 属性在模型(Model)中扮演着至关重要的角色。它是Laravel Eloquent ORM系统提供的一个安全特性,用于防止所谓的“批量赋值漏洞”(Mass Assignment Vulnerability)。本文将深入探讨 $fillable的用途、如何使用它以及为何它如此重要。

$fillable属性的用途

在日常开发过程中,我们经常需要从用户那里接收数据,并将这些数据保存到数据库中。Laravel提供了方便的批量赋值(Mass Assignment)功能,使得开发者可以一次性赋值多个属性。然而,这项功能如果没有适当的限制,也可能带来安全风险。攻击者可能会通过批量赋值漏洞,向数据库写入不应被修改的字段。为了解决这个问题,Laravel引入了 $fillable属性,让我们定义哪些字段可以被批量赋值。

使用 $fillable

在Laravel的Eloquent模型中,$fillable是一个数组,包含了可以被批量赋值的字段名。通过设置这个属性,任何不在该数组中的字段都不会被批量赋值,从而提高了应用程序的安全性。

举个例子,假设我们有一个 User模型,包含 nameemail, 和 password字段。如果希望这三个字段都可以通过批量赋值来更新,则可以在 User模型中设置如下:

class User extends Model
{
    protected $fillable = ['name', 'email', 'password'];
}

现在,如果我们使用Eloquent的 create方法或是在实例化模型后调用 fill方法,只有在 $fillable数组中列出的字段会被赋值。

$user = User::create([
    'name' => 'John Doe',
    'email' => 'john@example.com',
    'password' => 'secret',
    'is_admin' => 1 // 假设这是不希望通过用户输入直接赋值的字段
]);

由于 is_admin字段没有在 $fillable数组中指定,它不会被批量赋值,从而保证了数据的安全性。

$fillable与 $guarded

Laravel提供了另外一个与 $fillable对立的属性 $guarded。与 $fillable指定"哪些字段可以被批量赋值"不同,$guarded指定的是"哪些字段不可以被批量赋值"。

一般情况下,应该只使用其中一种方法来保护你的模型,要么是 $fillable,要么是 $guarded。使用两者中的一种,根据具体场景和个人偏好选择最适合你的项目的那个。

kaikaile1995
关注
Laravel中Eloquent的fillable和guard属性的作用
VtteAlgorithm的博客
10-03 291
fillable属性指定了可以批量赋值的字段,而guard属性指定了不可批量赋值的字段。在上面的例子中,$data数组中的’name’、‘email’和’password’字段会被赋值到新创建的User模型对象中,而’id’、'created_at’和’updated_at’字段由于在guarded属性中,将被忽略。在上面的例子中,$data数组中的’name’、'email’和’password’字段会被赋值到新创建的User模型对象中,而’role’字段由于不在fillable属性中,将被忽略。
laravel中的fillable和guarded属性
hello_katty的专栏
10-26 1817
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillable和guarded属性。 protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: protect...
laravel模型$fillable用法
皮皮虾的博客
03-14 1316
Laravel 中,$fillable属性在模型中扮演着非常重要的角色。它是一个数组,指定了可以被批量赋值的属性列表。批量赋值是指在创建或更新模型时,通过一个数组来赋值给模型的属性,这在处理表单数据时特别有用。使用$fillable可以增加应用程序的安全性,防止用户恶意更新模型中不应该被直接更新的属性,这种安全漏洞通常称为“批量赋值漏洞”(Mass Assignment Vulnerability)。
Laravel 安全:批量赋值 fillable 与 guarded
黄老五的专栏
05-10 510
这样我们就直接将表单中提交过来的所有信息直接录入进了数据库,是不是很方便,但是 这样是非常不安全的,对于用户输入的数据,我们应该永远的谨慎对待。假如我们的 posts 表里有一个字段 user_id,是用来标记发布者的,按照以上的写法,用户可以伪造成任何人发布内容,只需要模拟表单提交并设定 user_id 字段即可。有时候我们希望通过 Post::create($data) 的方式存储表单数据,我们会在 $data 中存放一些敏感信息,但是一些敏感信息,create 方法会直接过滤掉怎么办?
Laravel Fillable() 使用
a269074092的博客
08-18 508
如 : public function saveNotice($noticeRequest){ $notice = new Notice; $data = $noticeRequest->only($notice->getFillable()); $notice->school_id = \Auth::user()->school_id; ...
Laravel Model 的 fillable (白名单)与 guarded (黑名单)
DuDuKuan的博客
02-20 1814
使用白名单fillable定义了的字段是可以写入/修改,其他未写入的是不可以添加/修改的 使用黑名单guarded,里面如果定义了字段,那么定义的字段是不可以被添加或者修改的,则那些没有在被定义的是可以进行修改及添加的,所以使用黑名单时让他直接为空就可以进行添加或修改了。 需要注意的是,fillable 与 guarded 只限制了 create 方法,而不会限制 save。 ...
laravel 模型 $table $guarded $hidden
weixin_30252709的博客
06-05 598
首先以App\User模型为例1、$table属性表名,对应数据库中的表名2、guarded)属性guarded表示在create()方法中不能被赋值的字段3、$hidden属性$hidden属性可以隐藏字段,使其不出现在数组或者json格式中。 4、$fillable和$guarded相反设为批量添加的白名单,fillable属性都是laravel的批量赋值方法create()...
laravel的fillable和guarded属性
热门推荐
sinat_41790904的博客
08-06 1万+
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillable和guarded属性。   protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: pr...
PHP Laravel框架 模型数据库
余味鱼尾的博客
12-04 650
本文旨在帮助人了解PHP Laravel框架下数据库的操作
laravel中的fillable和guarded属性详解
10-16
总之,`fillable` 和 `guarded` 在 Laravel 中是用来控制 Eloquent 模型批量赋值安全性的机制。选择使用哪一个取决于你的具体需求,白名单 `fillable` 更倾向于开放指定的属性,而黑名单 `guarded` 更侧重于保护敏感...
Laravel 实现关系模型取出需要的字段
01-20
9. **Like模糊查询**:在模型中使用`where`或`orWhere`方法配合`like`操作符,可以实现基于部分匹配的查询。 10. **视图(Views)**:在Laravel中,视图是展示数据的层,可以结合模板引擎来构建动态网页内容。 ...
Laravel框架模型的创建及模型对数据操作示例
10-17
- 查询:使用模型的 `all()` 方法可以获取表中所有的记录,`find()` 方法通过主键来检索记录,`findOrFail()` 方法与 `find()` 类似,但当指定的记录不存在时会抛出异常。`where()` 方法可以添加查询条件,`orderBy...
MySQL 数据库初体验
lz007_的博客
05-27 923
数据库技术日益发展的今天,主流数据库代表着成熟的数据库技术。了解常用数据库,就能知道数据库技术发展的程度,以及未来的大体方向。
Oracle 的 MOVE 操作是否重建表?
文牧之的博客
05-23 674
Oracle 的操作实质上是,但保留表的逻辑定义不变。
Oracle初识
2201_75445857的博客
05-27 599
ORACLE 数据库系统是美国 ORACLE 公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLENT/SERVER)或B/S 体系结构的数据库之一。ORACLE 数据库是目前世界上使用最为广泛的数据库管理系统,作为一个通用的数据库系统,它具有完整的数据管理功能;作为一个关系数据库,它是一个完备关系的产品;作为分布式数据库它实现了分布式处理功能。分布式:如果 把一个应用程架在一个服务器上,服务器的负担会很重。
MySQL数据库初体验
最新发布
h3309869136的博客
05-27 1263
使用数据库可以高效且条理分明地存储数据,使人们能够更加迅速、方便地管理数据。数据库具有以下特点:可以结构化存储大量的数据信息,方便用户进行有效的检索和访问。可以有效地保持数据信息的一致性、完整性,降低数据几余。可以满足应用的共享和安全方面的要求。
数据库入门:以商品订单系统为例
2301_80436820的博客
05-26 467
数据库是现代软件开发中不可或缺的基础,掌握数据库的基本概念和操作,是每个开发者的必经之路。本文将以“商品-品牌-客户-订单-订单项”为例,带你快速入门数据库的核心知识和基本操作。
(请关注)Oracle性能调优、优化总结调优参考直接应用,性能提升实用案例
郭家佑VC/C++/C
05-26 502
*注解**:分析执行计划中的`FULL TABLE SCAN`、`INDEX RANGE SCAN`等操作,判断是否缺失索引或统计信息过期。**注解**:绑定变量避免重复解析SQL语句,减少共享池的争用(如`library cache lock`)。2. **I/O优化**:使用SSD、调整`DB_FILE_MULTIBLOCK_READ_COUNT`。- **动态性能视图**:`v$session`, `v$sql`, `v$system_event`- **AWR报告**:`@?
php中使用命令自动生成模型类Student(数据表自建并添加测试数据),添加$table、$timestamps和 $fillable属性。
05-25
在PHP中使用命令自动生成模型类Student,需要使用Laravel框架的Artisan命令行工具。首先,需要在终端中进入Laravel项目的根目录,然后运行以下命令: ``` php artisan make:model Student -m ``` 这个命令会生成一个名为Student的模型类,并且会同时生成一个与模型类对应的迁移文件,用于创建students表。在生成迁移文件时,可以使用--create选项指定表名,如: ``` php artisan make:model Student -m --create=students ``` 接下来,在生成的Student模型类中添加$table、$timestamps和$fillable属性,如下所示: ```php <?php namespace App; use Illuminate\Database\Eloquent\Model; class Student extends Model { protected $table = 'students'; // 指定数据表名 public $timestamps = true; // 开启自动维护时间戳 protected $fillable = ['name', 'age', 'gender']; // 指定可批量赋值的属性 } ``` 其中,$table属性用于指定模型对应的数据表名,$timestamps属性用于控制是否自动维护created_at和updated_at字段,$fillable属性用于指定可以通过模型的create()方法批量赋值的属性。 最后,需要在students表中添加测试数据,可以使用Laravel的Seeder和Factory来实现。首先,需要在终端中运行以下命令生成一个Student模型的Seeder: ``` php artisan make:seeder StudentSeeder ``` 然后,在生成的StudentSeeder类中编写填充数据的逻辑,如下所示: ```php <?php use Illuminate\Database\Seeder; use App\Student; class StudentSeeder extends Seeder { public function run() { factory(Student::class, 10)->create(); } } ``` 以上代码使用了Laravel的Factory来生成10条Student模型的测试数据。最后,运行以下命令执行seeder填充数据: ``` php artisan db:seed --class=StudentSeeder ``` 执行完毕后,即可在students表中查看到添加的测试数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值