Что означает «массовое назначение» в Laravel?

Question

Что означает «массовое назначение» в Laravel?

100

Когда я просмотрел раздел Laravel Document о частичной яркости ORM, я получил новый термин Mass Assignment.

Отображение документа Как выполнить массовое присвоение и настройки свойств fillable или guarded. Но после этого я не знал о Mass Assignment и о том, как это работает.

В моем прошлом опыте в CodeIgniter я также не слышал об этом термине.

Есть ли у кого-то простое объяснение?

Chen-Tsu Lin 09 март 2014, в 07:53

Источник

2

Некоторые ресурсы Википедии или Laravel 4 защищают от этой уязвимости в одной строке кода. Или этот пост об уязвимости
user2581096 09 март 2014, в 07:56

Теги:

php

laravel

mass-assignment

4 ответа

12

Массовое присвоение - это процесс отправки массива данных, которые будут сохранены в указанной модели за один раз. Как правило, вам не нужно сохранять данные в вашей модели по отдельности, а скорее в одном процессе.

Массовое назначение - это хорошо, но за этим стоят определенные проблемы с безопасностью. Что делать, если кто-то передает значение в модель и без защиты может определенно изменить все поля, включая идентификатор. Это не хорошо.

Допустим, у вас есть таблица "студентов", с полями "student_type, first_name, last_name". Возможно, вы захотите массово назначить "first_name, last_name", но вы хотите защитить student_type от непосредственного изменения. Там, где заполняется и охраняется.

Fillable позволяет вам указать, какие поля можно назначить по массе в вашей модели, вы можете сделать это, добавив специальную переменную $fillable в модель. Итак, в модели:

class Student extends Model {
      protected $fillable = ['first_name', 'last_name']; //only the field names inside the array can be mass-assign
}

'student_type' не включены, что означает, что они освобождены.

Охраняется с обратной стороны. Если в параметре fillable указано, какие поля должны быть назначены по массе, параметр guardiled указывает, какие поля нельзя назначить по массе. Итак, в модели:

class Student extends Model {
      protected $guarded = ['student_type']; //the field name inside the array is not mass-assignable
}

Вы должны использовать либо $ fillable, либо $ guarded - но не оба.

Для более подробной информации откройте ссылку: - Массовое назначение

Udhav Sarvaiya 05 апр. 2018, в 11:34

4

Массовое присвоение означает, что вы заполняете строку более чем одним столбцом, используя массив данных. (несколько ярлыка вместо ручного построения массива) с помощью Input::all().

Технически только с головы. Fillable означает, что столбцы в таблице могут быть вставлены, защита означает, что модель не может вставляться в этот конкретный столбец.

Обратите внимание, что при попытке выполнить массовое присвоение с помощью вставьте в столбец с именем "secret", и вы указали, что он защищен, вы можете попробовать вставить его через модель, но это никогда не будет вставьте в базу данных.

Это касается безопасности и защиты вашей таблицы при использовании модели. Массовое назначение кажется просто уведомлением или предупреждением о том, что вы не указали модель, которая заполнена и защищена, и делает ее уязвимой для каких-либо атак.

majidarif 09 март 2014, в 08:55

2

UPDATE

Для Laravel 5.x вы можете обратиться к последнему документу массовому назначению

ИЛИ

Хорошо подробное объяснение того, когда использовать заполняемый или защищенный

Ikong 24 нояб. 2015, в 13:19

2

На самом деле, я думаю, что документация очень тонкая по этому вопросу. Хотя опытным разработчикам Laravel может быть очевидно, что означает «массовое назначение» (в отличие от «явного обновления Модели»), новичок не поймет различия от чтения этой документации. Я думаю, что это был весь вопрос в первую очередь !!
cartbeforehorse 27 фев. 2017, в 11:04
0

Ну, я узнал все из документов, даже будучи новичком, также, как он может знать, что правильно во всех этих ответах, когда он вообще не видел документы, когда, очевидно, это самый точный ответ. Такие люди, как вы, возможно, захотят скопировать и вставить случайный ответ.
Ikong 28 фев. 2017, в 07:11
1

Первая строка ОП: «Когда я просмотрел документ Laravel о Eloquent ORM ...». Он явно читать документацию, как это сделал я, и вашим комментарием, кажется , что вы не нашли время , чтобы прочитать! Мы оба посчитали документы неадекватными, и поэтому вы указываете нам на то, что от вашего имени просто лень.
cartbeforehorse 28 фев. 2017, в 11:55
1

это в основном ссылка только ответ - плохо
Andrew 10 окт. 2017, в 03:35

Показать ещё 2 комментария

Ещё вопросы

Некоторые ресурсы Википедии или Laravel 4 защищают от этой уязвимости в одной строке кода. Или этот пост об уязвимости
На самом деле, я думаю, что документация очень тонкая по этому вопросу. Хотя опытным разработчикам Laravel может быть очевидно, что означает «массовое назначение» (в отличие от «явного обновления Модели»), новичок не поймет различия от чтения этой документации. Я думаю, что это был весь вопрос в первую очередь !!
Ну, я узнал все из документов, даже будучи новичком, также, как он может знать, что правильно во всех этих ответах, когда он вообще не видел документы, когда, очевидно, это самый точный ответ. Такие люди, как вы, возможно, захотят скопировать и вставить случайный ответ.
Первая строка ОП: «Когда я просмотрел документ Laravel о Eloquent ORM ...». Он явно читать документацию, как это сделал я, и вашим комментарием, кажется , что вы не нашли время , чтобы прочитать! Мы оба посчитали документы неадекватными, и поэтому вы указываете нам на то, что от вашего имени просто лень.
это в основном ссылка только ответ - плохо

duellsy · Accepted Answer · 2014-03-09T07-49-00.000Z

Массовое назначение - это когда вы отправляете массив в создание модели, в основном устанавливая кучу полей в модели за один раз, а не один за другим, что-то вроде:

$user = new User(Input::all());

(Это вместо того, чтобы явно устанавливать каждое значение в модели отдельно.)

Вы можете использовать fillable для защиты тех полей, которые вы хотите, чтобы это действительно позволяло обновлять.

Скажем, в вашей пользовательской таблице есть поле user_type, которое может иметь значения user/admin

Очевидно, что вы не хотите, чтобы пользователи могли обновлять это значение. Теоретически, если бы вы использовали вышеуказанный код, кто-то мог бы ввести в форму новое поле для user_type и отправить "админ" вместе с другими данными формы и легко переключить свою учетную запись на учетную запись администратора... плохие новости.

Добавив:

$fillable = array('name', 'password', 'email');

Вы гарантируете, что только те значения могут быть обновлены с помощью mass assignment

Чтобы обновить значение user_type, вам необходимо явно установить его на модели и сохранить его, например:

$user->user_type = 'admin';
$user->save();

Спасибо за этот ответ, я совершенно не понимаю, кто будет делать такую вещь, как $user = new User(Input::all()); (как программист) это настолько неконтролируемо (или в каком сценарии это будет полезно).
... это вовсе не смысл ответа, это краткий ответ, не используя его в качестве урока по безопасности и т. д.
Я понял, и я рад, что нашел этот ответ. Мне просто интересно, в каком сценарии приведенная выше строка (в моем комментарии) полезна. Я имею в виду без проверки и тому подобное.
так вы думаете в ответ на вопрос «Что значит« массовое назначение »в Laravel?» Я должен был вдаваться в подробности о проверке ... это был простой ответ на вопрос, не сбившись с пути. Оставим это как есть.
Неважно, в чем смысл вопроса OP, который я задал, поэтому мне не нужно создавать новую тему, а вы продолжаете говорить «почему бы и нет» говорить об этом. Я просто не понимаю, зачем кому-то использовать строку, как вы написали, вместо $user = new User; $user->name = 'Neo';
@Kyslik можно использовать User(Input:all) для более короткого кода, который более читабелен и проще в обслуживании. Если вы соответственно установите охрану, то никакой угрозы безопасности не будет.
@duellsy Я только что наткнулся на изменения между L5.2 и L5.4 в L5.2. Я делал это Doctor::create($input); Я вижу примечания в PHPSTORM говорится, что Non-static method 'create' should not be called statically , если здесь есть различия между L5.2 и L5.4 в L5.2
@Kyslik, у меня есть сценарий использования API, который хорошо его использует. У некоторых моделей есть разумные данные, которыми я хочу управлять, но некоторые не так актуальны. Таким образом, все API\XXControllers не имеют API\XXControllers index() , show() и store() , но они наследуют Controller который имеет index() , show() , store() . При вызове индекса из любого ресурса он обрабатывается в контроллере по-разному в соответствии с именем модели ресурса. То же самое относится и к create, $model = $EntityClass::create($request->all()); сделаю для всех ресурсов. Если я хочу контролировать, я переопределяю index() в API\XXController .
@KeitelJovin да, теперь, когда кто-то использует FormRequest (в вашем примере вы этого не делаете), вы можете использовать $request->all() потому что будут присутствовать только проверенные поля. Также его 4-летний разговор, и я могу сказать, что устарел к настоящему времени ...
Да, спасибо за совет. Суть в том, что для меня это было мое собственное приложение Frontend, и если данные будут разумными, я буду контролировать как в Frontend, так и в Backend, но если нет, то проверка Frontend будет более чем достаточной, и backend сэкономит мне некоторые коды.