Laravel中大規模分配的風險
[英]Risks of Mass Assignment in Laravel
問題描述
我從4.0開始使用Laravel,默認情況下可以進行質量分配,即
$foo = Foo::create('foo' => 'bar', 'bar' => 'foo');
但是我認為在L4.1中可用於大規模分配的字段開始必須在模型中定義。 現在,我正在學習有關L5的教程,因為我主要是通過反復試驗來學習L4的,而且我看到大量分配已在許多我認為相當高風險的模型中使用,例如用戶。
我有點希望被征詢意見,但是我不清楚大規模分配(我假設要使用SQL注入)會為我帶來什么風險。 還是我在模型中定義可分配的數量這一事實消除了L4.0系統中的風險?
1 個解決方案
解決方案1
2 已采納 2015-02-08 14:43:30
“風險”是開發人員經常將Input::all()傳遞給模型。 沒有新的$fillable和$guarded提供的$guarded ,意外的用戶輸入可能會產生錯誤(准確的說是SQL錯誤,例如: column foo not in field list ),並且可能允許用戶插入您沒有輸入的屬性。希望他通過處理請求來解決。
Laravel質量分配錯誤
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.