关于php:(Laravel)关于Mass Assignment保护的疑问

(Laravel) Doubts concerning Mass Assignment protection

我正在开发一个包含多个内容的网站,包括一个博客,我对批量分配保护提出了一些疑问。

当我在博客文章上发表评论时,我认为"可填写"字段将是评论的正文、文章 ID 和 parent_comment_id(可选,仅用于回复评论),但是当我想到

1
2
3
4
5
6
ArticleComment::create([
            'author_id' => Auth::user()->id,
            'body' => $request->input('body'),
            'article_id' => $request->input('article_id'),
            'parent_comment_id' => $request->input('parent_comment_id')
        ]);

我发现即使是 author_id 字段也应该是可批量分配的,以便将其持久保存在数据库中(并且不会导致外键失败)。
我发现的唯一选择是从一个新实例中组装评论并保存它:

1
2
3
4
5
6
$comment = new App\\ArticleComment();
$comment->author_id = Auth::user()->id;
$comment->body = $request->input('body');
$comment->article_id = $request->input('article_id');
$comment->parent_comment_id = $request->input('parent_comment_id');
$comment->save()

但在这种情况下,不需要任何"可填充"字段,因为这种方式不会产生任何批量赋值异常。

我知道批量分配应该防止通过发布请求进行恶意数据更改,但我真的不知道,例如,有人会如何修改第 2 行中的 author_id,因为它来自 Auth 而不是来自输入。


我认为在这种情况下,您将使用 new ArticleComment($request->input())$comment->fill($request->input()) 来分配用户可输入的数据,然后分配 id\\'s 或非用户可编辑的数据(在您的情况下为 author_id)分开。

1
2
3
$comment = new App\\ArticleComment($request->input());
$comment->author_id = Auth::user()->id;
$comment->save()

这将阻止用户发布带有 author_id 作为字段的表单,但仍允许您快速分配用户字段,而无需在需要的任何地方列出它们。


在您的示例中,没有人可以修改它。但是,如果你想分配这样的东西怎么办?

1
ArticleComment::create($request->all());

现在可以修改字段。这就是批量分配的目的。