这种方式的优点是简单易用,直接在模型层面进行控制,避免在控制器中重复编写逻辑。缺点是需要维护 fillable 或 guarded 列表,容易遗漏或出错。即使已经进行了验证,也建议保留此项保护,作为额外的安全措施。
注意事项:
- 如果同时定义了 $fillable 和 $guarded,$guarded 优先级更高。
- 如果希望允许所有字段进行批量赋值,可以将 $guarded 设置为空数组:protected $guarded = [];。但请谨慎使用,务必确保已做好充分的验证。
2. 控制器保护
另一种方式是在控制器中显式地指定要更新的字段。
Model::update([
'permitted_param1' => $request->permitted_param1,
'permitted_param2' => $request->permitted_param2,
]);在这种情况下,可以放松模型中的批量赋值限制,例如设置 $guarded = [];。
优点:
- 可以灵活地控制哪些字段可以被更新。
- 允许输入参数名和数据库字段名不一致。
- 可以在赋值前对输入进行处理。
缺点:
- 代码冗余,需要在每个控制器方法中重复编写逻辑。
- 如果其他开发者在其他控制器中使用了 $request->input(),仍然可能存在安全风险。
示例:
User::create($request->except('password') + ['secret' => bcrypt($request->password)]);3. 验证器保护
Laravel 8+ 提供了 safe() 方法,可以直接获取经过验证的数据。
MyModel::update($request->safe()->all());
对于 Laravel 8 之前的版本,可以使用 validated() 方法。
MyModel::update($request->validated());
这种方式将验证和数据清洗结合在一起,确保只有经过验证的数据才能被用于更新模型。
优点:
- 代码简洁,将验证和数据清洗放在一起。
- 控制器代码更清晰。
- 确保所有数据都经过验证。
注意事项:
- 对于可选字段,需要在验证规则中允许其为空。
4. Repository 模式
Repository 模式是一种设计模式,用于将数据访问逻辑从控制器中分离出来。可以将批量赋值的控制逻辑放在 Repository 层。
优点:
- 控制器和模型更加简洁。
- 数据访问逻辑可重用。
- 更易于测试。
缺点:
- 对于小型项目,可能会增加不必要的复杂性。
总结
在 Laravel 中,是否需要进行批量赋值保护取决于具体的应用场景和团队习惯。
- 如果团队对安全要求较高,建议同时使用 Eloquent 模型保护和验证器保护,作为双重保障。
- 如果控制器逻辑比较复杂,可以使用控制器保护或 Repository 模式,将数据访问逻辑分离出来。
- 如果使用了强大的验证机制,并且确信所有输入都经过了验证,可以适当放松 Eloquent 模型保护,但仍然建议保留,以防止意外情况发生。
最终的选择应该基于项目的具体需求和团队的权衡。无论选择哪种方式,都应该保持对安全性的重视,并定期审查代码,确保没有安全漏洞。
