(Laravel) Doubts concerning Mass Assignment protection
我正在开发一个包含多个内容的网站,包括一个博客,我对批量分配保护提出了一些疑问。
当我在博客文章上发表评论时,我认为"可填写"字段将是评论的正文、文章 ID 和 parent_comment_id(可选,仅用于回复评论),但是当我想到
1 2 3 4 5 6 | ArticleComment::create([ 'author_id' => Auth::user()->id, 'body' => $request->input('body'), 'article_id' => $request->input('article_id'), 'parent_comment_id' => $request->input('parent_comment_id') ]); |
我发现即使是 author_id 字段也应该是可批量分配的,以便将其持久保存在数据库中(并且不会导致外键失败)。
我发现的唯一选择是从一个新实例中组装评论并保存它:
1 2 3 4 5 6 | $comment = new App\\ArticleComment(); $comment->author_id = Auth::user()->id; $comment->body = $request->input('body'); $comment->article_id = $request->input('article_id'); $comment->parent_comment_id = $request->input('parent_comment_id'); $comment->save() |
但在这种情况下,不需要任何"可填充"字段,因为这种方式不会产生任何批量赋值异常。
我知道批量分配应该防止通过发布请求进行恶意数据更改,但我真的不知道,例如,有人会如何修改第 2 行中的 author_id,因为它来自 Auth 而不是来自输入。
我认为在这种情况下,您将使用
1 2 3 | $comment = new App\\ArticleComment($request->input()); $comment->author_id = Auth::user()->id; $comment->save() |
这将阻止用户发布带有 author_id 作为字段的表单,但仍允许您快速分配用户字段,而无需在需要的任何地方列出它们。
在您的示例中,没有人可以修改它。但是,如果你想分配这样的东西怎么办?
1 | ArticleComment::create($request->all()); |
现在可以修改字段。这就是批量分配的目的。