【thinkphp3.x】thinkphp3.x中字段的合法性检测

最新推荐文章于 2021-08-05 19:29:08 发布
最新推荐文章于 2021-08-05 19:29:08 发布
阅读量888 收藏
点赞数
分类专栏: 【thinkphp3深入研究】 文章标签: email user 
3.1增加了表单提交的字段合法性检测,更好的保护数据的安全性。这一特性是3.1安全特性中的一个重要部分。
表单字段合法性检测需要使用create方法创建数据对象的时候才能生效,有两种方式: 

一、属性定义

可以给模型配置insertFields 和 updateFields属性用于新增和编辑表单设置,使用create方法创建数据对象的时候,不在定义范围内的属性将直接丢弃,避免表单提交非法数据。

insertFields 和 updateFields属性的设置采用字符串(逗号分割多个字段)或者数组的方式,例如: 

<?php
class UserModel extends Model{     
	protected $insertFields = array('account','password','nickname','email');     
	protected $updateFields = array('nickname','email'); 
}
?>

设置的字段应该是实际的数据表字段,而不受字段映射的影响。

在使用的时候,我们调用create方法的时候,会根据提交类型自动识别insertFields和updateFields属性: 

<?php
D('User')->create();
?>

使用create方法创建数据对象的时候,新增用户数据的时候,就会屏蔽'account','password','nickname','email' 之外的字段,编辑的时候就会屏蔽'nickname','email'之外的字段。

下面是采用字符串定义的方式,同样有效: 

<?php
class UserModel extends Model{     
	protected $insertFields = 'account,password,nickname,email';     
	protected $updateFields = 'nickname,email'; 
}
?>

二、方法调用

如果不想定义insertFields和updateFields属性,或者希望可以动态调用,可以在调用create方法之前直接调用field方法,例如,实现和上面的例子同样的作用:

在新增用户数据的时候,使用:

<?php
$User = M('User'); 
$User->field('account,password,nickname,email')->create();
$User->add();
?>

而在更新用户数据的时候,使用: 

<?php
$User = M('User'); 
$User->field('nickname,email')->create(); 
$User->where($map)->save();
?>

这里的字段也是实际的数据表字段。field方法也可以使用数组方式。

使用字段合法性检测后,你不再需要担心用户在提交表单的时候注入非法字段数据了。显然第二种方式更加灵活一些,根据需要选择吧!

yanhui_wei
关注
专栏目录
漏洞复现—ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞
weixin_45556536的博客
11-24 1500
Thinkphp—2-rce一级目录二级目录三级目录涉及版本漏洞复现2-rce 一级目录 二级目录 三级目录 涉及版本 5.0.8-5.0.13 不需要开启debug // payload POST /tp5010/public/index.php?s=index/index/index HTTP/1.1 Host: 127.0.0.1:8000 Content-Length: 52 Content-Type: application/x-www-form-urlencoded s=whoami&a
php 字段检查,关于thinkphp 字段自动检查机制
weixin_39526564的博客
03-24 148
thinkphp有很好用的自动检查机制$_validate() 但是必须与create接收配合使用 可以很方便的帮助我们去判断namespace Home\Model;use Think\Model;class UserModel extends Model{protected $_validate = array(array(‘verify‘,‘require‘,‘验证码必须!‘), //默...
ThinkPHP3.2.3 字段映射/自动验证/自动完成
weixin_34358092的博客
02-05 225
执行顺序与调用时机 这三个功能都是在create()方法给调用时才执行。 执行顺序:字段映射->自动验证->自动完成 字段映射 目的:让表单提交的数据字段与数据表字段可以不相同 实现:在模型层实现 protected $_map = array( 'name' =>'usernam...
tp框架判断ajax,Thinkphp3.2.3+AJAX检查数据库字段是否存在
weixin_36110344的博客
08-05 395
//判断前台是否AJAX请求if(IS_AJAX){$name=I("get.field");//字段名称$moduleid=I("get.moduleid");//模型ID$tablename=C('DB_PREFIX').strtolower($this->module[$moduleid]['name']);//模型表$db=DB::getInstance();/...
ThinkPHP3.1新特性:字段合法性检…
zhexiao
03-28 1105
3.1增加了表单提交的字段合法性检测,更好的保护数据的安全性。这一特性是3.1安全特性的一个重要部分。 表单字段合法性检测需要使用create方法创建数据对象的时候才能生效,有两种方式:   一、属性定义 可以给模型配置insertFields 和 updateFields属性用于新增和编辑表单设置,使用create方法创建数据对象的时候,不在定义范围内的属性将直接丢弃,避免表单提交非法
增加表单提交字段合法性检测 弱爆了的方法 ,一直想用来着
大任的网络专栏
09-09 1252
版本:3.1.0 评论 捐赠 分享 使用create方法创建数据对象的时候,可以支持数据的合法性检测了,有两种方式: 一、可以配置insert_fields 和 update_fields属性  可以分别为新增和编辑表单设置insert_fields 和 update_fields属性 使用create方法创建数据对象的时候,不在定义范围内的属性将直接丢弃,避免表单提交非
ThinkPHP3.1新特性之字段合法性检测详解
10-25
下面详细介绍ThinkPHP3.1表单提交的字段合法性检测的两种实现方式:属性定义和方法调用。 一、属性定义方式: 在ThinkPHP3.1,可以通过设置模型的insertFields和updateFields属性来定义新增和编辑表单时允许...
ThinkPHP的三大自动简介
12-18
自动验证是ThinkPHP用于确保用户输入数据合法性的关键功能。它允许开发者定义一系列验证规则,以检查用户提交的数据是否符合预设的标准。验证规则通常以数组的形式定义,如: ```php protected $_validate = ...
ThinkPHP3.2.3完全开发手册.docx
11-10
- **表单合法性检测**: - **验证方式**:通过验证规则检查表单数据的有效性。 - **应用场景**:确保提交的数据符合预期格式。 - **表单令牌**: - **作用介绍**:用于防止跨站请求伪造(CSRF)攻击。 - **生成...
tp3.2自动验证
weixin_30289831的博客
04-18 121
<?php namespace Home\Model; use Think\Model; class UserModel extends Model{ protected $patchValidate = true; protected $_validate = array(       ['username','require','请输入用户名'], // 在...
thinkphp3.2 or 查询 (同字段
asasasasaq的博客
03-16 1万+
不同字段在手册以及有详细的说明 此处也是直接拿过来本文主要讲解的是同字段 or 查询 (毕竟or 查询速度是优于 in的)$map['id'] = array(array('gt',3),array('lt',10), 'or') ;结果为 id&lt;100 or id&gt;500希望本文章能帮到大家 ^ _ ^...
thinkphp getField( )和field( )
别让现实一步步侵吞你最初的梦想
06-10 5443
做数据库查询的时候,比较经常用到这两个,zong'shi'ch
thinkphp框架,URL传参c/123,接收不到参数的问题
misaka去年夏天的博客
05-26 2362
使用thinkphp3.2的时候,URL参数如果传了以c作为参数名,那么在控制器方法里,怎么也接收不到参数($_GET,$_REQUEST)都接收不到。仔细一想,在TP里,URL模式有把c当成控制器的,所以就把参数换成cid试了一下,果然就能接受到了。     算是个使用TP的小问题吧,记录一下。
3.使用ThinkPHP时表单action提交地址的格式
热门推荐
Darry_Zhao的博客
06-29 1万+
2016.06.29 1.问题描述 今天用ThinkPHP做一个用户登录和注册界面,在提交表单时action属性不知如何填写 注:我使用的是ThinkPHP3.2.3版本 不同版本应该会有差异 2.解决过程 方法1):localhost/..../index.php/模块/控制器/方法/参数.... 即使用完整的URL地址,指向你要提交至哪里。因为刚开始不知道怎么做所以
ThinkPHP——新增字段无法存入数据库
Mencre的博客
08-01 2431
最近给一家公司做网站,开始自学thinkphp,边学边做,但是从昨天下午遇到了一个问题,我在数据库新增了一个字段,在think和其他字段一样往数据库里存,可是怎么都存不进去,昨天晚上回家郁闷了一晚上。一样的字段,一样的步骤,一样的方法,其他字段能存进去就这一个存不进去,郁闷的头发都白了一半。在晚上做梦的时候突然梦到了“缓存”两个字,突然恍然大悟!现在写这个的时候刚刚上班,缓存已经清理,也顺利存...
thinkphp 检测上传的图片是否含有木马脚本
aiku_de_yu的博客
07-30 1132
1.检测原理   要想检测图片是否含有木马脚本,首先从制作原理来分析这种木马程序。这种木马程序是十六进制编码写的,图片的十六进制代码主要包含<% ( ) %>、<? ( ) ?> 、<script | /script>,所以我们可以通过检测十六进制代码来检测木马脚本。 2.解决方案   2.1编写Upload类    要想上传图片文件,我们...
ThinkPHP 3.xdisplay与show方法详解与实例
ThinkPHP 3.x版本,display方法和show方法是视图层的重要组成部分,用于处理模板文件的加载、数据绑定和最终的输出。这两者都是实现前后端分离和代码复用的关键工具。 1. **模板文件定义**: - ThinkPHP 3.x...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值