牛骨文教育服务平台(让学习变的简单)

表单合法性检测

在处理表单提交的数据的时候,建议尽量采用ThinkModel类提供的create方法首先进行数据创建,然后再写入数据库。

create方法在创建数据的同时,可以进行更为安全的处理操作,而且这一切让你的表单处理变得更简单。

使用create方法创建数据对象的时候,可以使用数据的合法性检测,支持两种方式:

配置insertFields 和 updateFields属性

可以分别为新增和编辑表单设置insertFieldsupdateFields属性,使用create方法创建数据对象的时候,不在定义范围内的属性将直接丢弃,避免表单提交非法数据。

insertFields 和 updateFields属性的设置采用字符串(逗号分割多个字段)或者数组的方式。

设置的字段应该是实际的数据表字段,而不受字段映射的影响。例如:

namespace HomeModel;
class UserModel extends ThinkModel{
    protected $insertFields = array("account","password","nickname","email");
    protected $updateFields = array("nickname","email");
 }

定义后,调用add方法写入用户数据的时候,只能写入"account","password","nickname","email"这几个字段,编辑的时候只能更新"nickname","email"两个字段。

在使用的时候,我们调用create方法的时候,会根据提交类型自动识别insertFields和updateFields属性:

D("User")->create();

直接调用field方法

如果不想定义insertFields和updateFields属性,可以在调用create方法之前直接调用field方法,例如,实现和上面的例子同样的作用: 在新增用户数据的时候,使用:

M("User")->field("account,password,nickname,email")->create();

而在更新用户数据的时候,使用:

M("User")->field("nickname,email")->create();

这里的字段也是实际的数据表字段。

field方法也可以使用数组方式。

使用字段合法性检测后,你不再需要担心用户在提交表单的时候注入非法字段数据了。