laravel 中 模型中 $fillable的用法

于 2024-03-14 09:55:20 发布
阅读量1.2k 收藏 8
点赞数 8
文章标签: laravel php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012790055/article/details/136699549
版权
本文介绍了Laravel中$fillable属性的作用,用于指定可批量赋值的模型属性,增强应用程序安全性。$fillable与$guarded属性的区别以及如何正确使用它们以保护敏感字段和避免批量赋值漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在 Laravel 中,$fillable 属性在模型中扮演着非常重要的角色。它是一个数组,指定了可以被批量赋值的属性列表。批量赋值是指在创建或更新模型时,通过一个数组来赋值给模型的属性,这在处理表单数据时特别有用。

使用 $fillable 可以增加应用程序的安全性,防止用户恶意更新模型中不应该被直接更新的属性,这种安全漏洞通常称为“批量赋值漏洞”(Mass Assignment Vulnerability)。

示例

假设你有一个 User 模型,它有 nameemailpassword 等属性。你可能不希望用户能够直接更新某些敏感字段,如 password,因此你可以在模型中使用 $fillable 来定义哪些属性是可以被批量更新的。

class User extends Model
{
    protected $fillable = ['name', 'email'];
}

在上面的例子中,$fillable 属性包含了 nameemail,这意味着只有这两个属性可以通过批量赋值来更新。如果尝试更新模型时传入了不在 $fillable 数组中的属性,如 password,那么这个属性将不会被赋值。

使用批量赋值

当使用 Eloquent 的 createupdate 方法时,Laravel 会检查 $fillable 属性来确定哪些给定的数组键值可以被批量赋值。

// 创建新用户
$user = User::create([
    'name' => 'John Doe',
    'email' => 'john@example.com',
    // 'password' => 'secret',因为 'password' 不在 $fillable 中,所以这里不会被赋值
]);

// 更新用户信息
$user->update([
    'name' => 'Jane Doe',
    // 同样,任何不在 $fillable 中的属性都不会被更新
]);

重要提示

  • 使用 $fillable 时,务必确保所有应该被用户更新的字段都包含在数组中,否则这些字段将无法通过批量更新被修改。
  • 另一个与 $fillable 相对的属性是 $guarded,它定义了哪些属性不可以被批量赋值。注意,不要同时使用 $fillable$guarded,因为这可能会导致混淆和错误。一般来说,使用 $fillable 更加推荐,因为它可以明确指出哪些字段是安全的。

通过合理使用 $fillable,你可以在保证 Laravel 应用程序安全的同时,方便地处理批量数据更新。

Laravel中Eloquent的fillable和guard属性的作用
VtteAlgorithm的博客
10-03 286
fillable属性指定了可以批量赋值的字段,而guard属性指定了不可批量赋值的字段。在上面的例子中,$data数组中的’name’、‘email’和’password’字段会被赋值到新创建的User模型对象中,而’id’、'created_at’和’updated_at’字段由于在guarded属性中,将被忽略。在上面的例子中,$data数组中的’name’、'email’和’password’字段会被赋值到新创建的User模型对象中,而’role’字段由于不在fillable属性中,将被忽略。
laravel中的fillable和guarded属性
hello_katty的专栏
10-26 1812
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillable和guarded属性。 protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: protect...
Laravel 批量注入的安全处理,通过模型的 fillable 和 guarded 解决
百人团队开发经理
03-26 934
Laravel 为了方便数据进行批量操作,提供了批量赋值机制。假如要在数据表中插入一条记录,我们可以使用模型做如下操作: $post = Article:create($request->all()); 这样我们直接将表单提交过来的数据直接写入了数据库(很方便),但是这样做非常不安全。对于用户输入的数据,我们应该永远谨慎对待。假如我们的 articles 表里有一个字段 user_id,是用来标记发布者的,按照以上的写法,用户可以伪造成任何人发布内部。只需要模拟表单提交并设定 user_id 字
Laravel Model的 fillable (白名单) 和 guarded (黑名单)属性
123456
12-01 3414
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillable和guarded属性 protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: protecte...
Laravel Model 的 fillable (白名单)与 guarded (黑名单)
DuDuKuan的博客
02-20 1806
使用白名单fillable定义了的字段是可以写入/修改,其他未写入的是不可以添加/修改的 使用黑名单guarded,里面如果定义了字段,那么定义的字段是不可以被添加或者修改的,则那些没有在被定义的是可以进行修改及添加的,所以使用黑名单时让他直接为空就可以进行添加或修改了。 需要注意的是,fillable 与 guarded 只限制了 create 方法,而不会限制 save。 ...
Laravel模型中的fillable和guarded属性
温建平的博客
07-15 1238
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillable和guarded属性。 protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: protected $guarded = ['*']; laravel的create方法为批量赋值,save方法为
laravel中的fillable和guarded属性详解
10-16
总之,`fillable` 和 `guarded` 在 Laravel 中是用来控制 Eloquent 模型批量赋值安全性的机制。选择使用哪一个取决于你的具体需求,白名单 `fillable` 更倾向于开放指定的属性,而黑名单 `guarded` 更侧重于保护敏感...
Laravel 实现关系模型取出需要的字段
01-20
9. **Like模糊查询**:在模型中使用`where`或`orWhere`方法配合`like`操作符,可以实现基于部分匹配的查询。 10. **视图(Views)**:在Laravel中,视图是展示数据的层,可以结合模板引擎来构建动态网页内容。 ...
Laravel框架模型的创建及模型对数据操作示例
10-17
- 查询:使用模型的 `all()` 方法可以获取表中所有的记录,`find()` 方法通过主键来检索记录,`findOrFail()` 方法与 `find()` 类似,但当指定的记录不存在时会抛出异常。`where()` 方法可以添加查询条件,`orderBy...
php中使用命令自动生成模型类Student(数据表自建并添加测试数据),添加$table、$timestamps和 $fillable属性。
最新发布
05-25
PHP中使用命令自动生成模型类Student,需要使用Laravel框架的Artisan命令行工具。首先,需要在终端中进入Laravel项目的根目录,然后运行以下命令: ``` php artisan make:model Student -m ``` 这个命令会生成一...
Laravel开发-fillable
08-28
Laravel开发-fillable 可填充特性是混合使任何对象(通常是DTO)可填充的几种简单方法
Laravel Fillable() 使用
a269074092的博客
08-18 501
如 : public function saveNotice($noticeRequest){ $notice = new Notice; $data = $noticeRequest->only($notice->getFillable()); $notice->school_id = \Auth::user()->school_id; ...
laravel的fillable和guarded属性
热门推荐
sinat_41790904的博客
08-06 1万+
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillable和guarded属性。   protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: pr...
关于model 需要定义 $fillable
赵忠洋的博客
11-11 731
背景 目前存在某些字段存储的是key,前端需要中文是 后端循环迭代 从字典中获取。laravel 中提供了更方便的处理逻辑// 将relation_name 加入模型中 protected $appends = [ 'relation_name' ];
fillable属性的作用
gengfu_php的博客
05-27 1937
protected $guard = array('email','password'); protected $fillable = array('nickname','email','password'); protected $hidden = array('password', 'remember_token'); 这里面的* fillable fillable hidden
laravel 怎么取出多对多关联表的一个字段,组成一个数组
weixin_39820924的博客
04-15 1261
aravel怎么取出多对多关联表的一个字段,组成一个数组? 比如: users表和roles表是多对多关系,关联表是这样的: id user_id role_id 我想获取当前登录用户的所有role_id: public function test() { //$roles是一个集合 $roles=Auth::user()->roles; ...
unguard / reguard 这二个方法怎么理解?
jsntdhf的专栏
06-05 1002
转自:https://learnku.com/laravel/t/9998/how-do-the-two-methods-of-unguard-reguard-understand Model::unguard(); $this->call(UsersTableSeeder::class); Model::reguard(); 简单来说,是临时取消批量赋值...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值