本文介绍如何在 laravel 的 formrequest 中验证非用户提交的动态字段(如自动生成的 code),通过 `prepareforvalidation()` 方法将其注入请求数据,再配合标准验证规则实现数据库唯一性校验。
在 Laravel 中,FormRequest 默认只验证来自 HTTP 请求体(如 POST 表单、JSON)的数据。当你调用 UserCode::getCode() 生成一个动态值并希望对其执行 unique:user_codes,code 校验时,若该值未作为请求字段存在,直接在 rules() 中写 $userCode => 'unique:...' 是无效的——因为 Laravel 验证器根本不会查找这个键,更不会提取其值参与校验。
正确做法是:将动态生成的值主动注入请求数据中,使其成为验证器可识别的“虚拟请求字段”。Laravel 提供了 prepareForValidation() 这一钩子方法,专用于在验证开始前预处理和补充请求数据。
✅ 正确实现方式
创建或修改你的 FormRequest 类(例如 StoreUserRequest),按如下结构编写:
merge([
'user_code' => \App\Models\UserCode::getCode(),
]);
}
public function rules(): array
{
return [
'name' => ['required', 'string', 'max:255'],
'email' => ['required', 'email', 'max:255'],
'user_code' => ['required', 'string', 'unique:user_codes,code'],
];
}
// 可选:为自定义字段提供友好错误提示
public function attributes(): array
{
return [
'user_code' => '用户编码',
];
}
}? 关键点说明:prepareForValidation() 在验证流程启动前执行,确保 user_code 已存在于请求数据中;'user_code' => 'unique:user_codes,code' 中的 code 是 user_codes 表的字段名,Laravel 会自动从请求中取 user_code 的值进行唯一性比对;添加 'required' 规则是必要的——即使值由代码生成,也应确保其非空,避免意外 null 导致 unique 规则跳过(Laravel 默认对 null 值不执行 unique 检查)。
⚠️ 注意事项
- 不要在 rules() 中拼接 SQL 式字符串(如 'unique:user_codes,code,' . $userCode):这不仅无法生效,还可能引发 SQL 注入风险(尽管 unique 规则本身已做参数化,但手动拼接仍属反模式);
- 确保 UserCode::getCode() 返回字符串类型:若返回对象或数组,unique 规则会因类型不匹配而静默失败;
- 若需在验证失败时显示特定消息,可在 messages() 方法中自定义:
public function messages(): array { return [ 'user_code.unique' => '该用户编码已被占用,请稍后重试。', ]; }
✅ 总结
Laravel 的验证机制严格依赖请求数据结构。要验证非表单字段,核心思路不是“绕过请求”,而是“模拟请求”——通过 prepareForValidation() 将业务逻辑生成的值优雅地注入请求上下文。这样既保持了验证逻辑的集中性与可测试性,又完全兼容 Laravel 原生验证器的所有能力(包括错误格式、本地化、条件规则等)。
