Laravel 批量注入的安全处理,通过模型的 fillable 和 guarded 解决

原创 已于 2022-03-26 23:46:26 修改 · 998 阅读 · 1 ·
CC 4.0 BY-SA版权
欢迎交流,禁止转载。
文章标签:

#laravel

于 2022-03-26 23:26:20 首次发布
这篇博客讨论了Laravel批量赋值带来的安全问题,即批量注入。通过示例展示了用户如何利用此特性冒充他人发布。Laravel提供了fillable(白名单)和guarded(黑名单)属性来解决这个问题,用于控制模型允许自动填充的字段。文章建议使用这两个属性确保数据安全性,并提供了解决创建模型时敏感数据被过滤的处理方法。

Laravel 为了方便数据进行批量操作,提供了批量赋值机制。假如要在数据表中插入一条记录,我们可以使用模型做如下操作:

$article = Article:create($request->all());

这样我们直接将表单提交过来的数据直接写入了数据库(很方便),但是这样做非常不安全。对于用户输入的数据,我们应该永远谨慎对待。假如我们的 articles 表里有一个字段 user_id,是用来标记发布者的,按照以上的写法,用户可以伪造成任何人发布内部。只需要模拟表单提交并设定 user_id 字段即可。这个问题就是我们所讲的 批量注入 的安全问题。

那么如何解决批量注入的安全问题?

Laravel 中的模型提供了 fillable 和 guarded,是专门用来解决批量注入的问题,二者是互斥关系,存在一个就好,如果同时存在,fillable 的优先级更高。

fillable 变量存储允许自动填充的模型字段,可以理解为字段白名单,比如:

protected  $fillable = ['title', 'body', 'category_id'];

guarded 变量存储不允许自动填充的模型字段,可以理解为黑名单,比如:

protected  $guarded=['user_id'];

有时,我们希望通过 Article::create($data) 的方式存储表单数据,我们会在 $data 在存放一些敏感数据,但是一些敏感数据,create 会自动过滤掉怎么办?难道要存入数据库之后再......

$article->user_id = Auth::id();
$article->save();

这样要写入两次数据库。我们可以这么来:

$article= new Article($data);
$article->user_id = Auth::id
最低0.47元/天 解锁文章
Laravel批量写入数据详解
Seagull的专栏
02-10 1万+
这周开始了解Laravel框架,在学习的过程中发现了Laravel在向数据表中写入数据是如此的方便高效,是以前在其它框架里面没有遇到过的,所以在这里列出来供初学者参考。首先Laravel实现这个功能是通过它的seed类来实现的。seed类是放在database/seeds目录中。 第一步,打开windows的cmd客户端,然后切换到Laravel的安装目录,然后cd到htdocs下面(因为我们要用
laravel-batch-db:在Laravel上正确地批量插入更新
02-24
laravel-batch-db :construction: 发展的早期阶段 基本用法 <?php use Haben \ Facades \ BatchDB ; // or $ batchDb = new BatchDB ( 'optionalDatabaseConnectionName' ); BatchDB :: upsert ( 'tableName' , []); // or $ dbConn = DB :: connection ( 'databaseConnectionName' ); BatchDB :: upsert ( 'tableName' , [], $ dbConn ); // or BatchDB :: connection ( 'databaseConnectionName' )-> upsert ( 'tableName' , []); API 插入 执行批量插入。 inse
laravel模型中数据批量加入
骨子里的偏爱
02-21 3786
** laravel模型中数据批量加入 ** 控制器: //关联新增批量加入 $user = User::find(19); $user->book()->saveMany([ new Book(['title'=>'《哈利波特1》']), new Book(['title'=>'《哈利波特2》']) ]); return view('data');
【亲测免费】 FilamentPHP Demo:构建优雅的管理界面的新选择
最新发布
gitblog_00064的博客
11-12 1506
在快速发展的Web开发领域中,为应用程序构建美观且功能强大的管理界面变得越来越重要。FilamentPHP提供了一个强大的解决方案,它是一个直观、易于使用的框架,用于创建自定义的后台管理界面。让我们深入了解其核心特性,技术实现潜在用途。 ## 项目简介 [FilamentPHP](https://github.com/filamentphp/filament) 是一个基于 Laravel
laravel模型中 $fillable的用法
皮皮虾的博客
03-14 1578
Laravel 中,$fillable属性在模型中扮演着非常重要的角色。它是一个数组,指定了可以被批量赋值的属性列表。批量赋值是指在创建或更新模型时,通过一个数组来赋值给模型的属性,这在处理表单数据时特别有用。使用$fillable可以增加应用程序的安全性,防止用户恶意更新模型中不应该被直接更新的属性,这种安全漏洞通常称为“批量赋值漏洞”(Mass Assignment Vulnerability)。
Laravel Model的 fillable (白名单) guarded (黑名单)属性
123456
12-01 3476
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillableguarded属性 protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: protecte...
Laravel开发-fillable
08-28
总结,`fillable`是Laravel开发中一个重要的安全机制,用于控制模型批量赋值。正确使用`fillable`可以有效地防止数据注入攻击,同时提高代码的可维护性。在结合DTO使用时,`fillable`更能在数据传输过程中提供额外...
Laravel Eloquent嵌套属性实现关联模型批量保存
此外,为了防止恶意数据注入,通常还需要结合`fillable`或`guarded`属性控制字段的批量赋值权限,确保安全性。 从标签列表来看,“Eloquent, 嵌套属性, Laravel, 模型关联, 属性写入器, 批量保存, 关联记录, 数据...
深入Laravel开发:掌握fillable特性
除了 "fillable" "guarded",Laravel 还提供了 "hidden" "visible" 属性,它们可以用来控制模型输出的字段。"hidden" 属性允许我们将某些字段隐藏起来,不让它们在模型转换为数组或 JSON 时被包含。"visible" ...
Laravel开发技巧:控制模型属性的插入与过滤
4. **$fillableguarded属性**:除了`$dontKeep`之外,Eloquent模型中还有两个重要属性,分别是`$fillable``$guarded`。`$fillable`属性是一个数组,它定义了哪些字段是可以被批量赋值的。而`$guarded`则相反,它...
Laravel模型中的fillableguarded属性
温建平的博客
07-15 1306
所有的Eloquent模型预设会防止批量赋值,所以需要在Model中设置fillableguarded属性。 protected $fillable = ['name']; protected $guarded = ['password']; fillable为白名单,表示该字段可被批量赋值;guarded为黑名单,表示该字段不可被批量赋值。 可为所有属性设置黑名单: protected $guarded = ['*']; laravel的create方法为批量赋值,save方法为
Laravel实现批量更新多条数据
12-17
前言 近期在刷新生产环境数据库的时候,需要更新表中的字段,如果对每条数据结果都执行一次update语句,占用的数据库资源就会很多,而且速度慢。 因为项目是Laravel框架,Laravel批量插入的方法,却没有批量更新的方法,没办法只能自己实现。 准备 mysql case…when的用法 MySQL 的 case when 的语法有两种: 简单函数 CASE [col_name] WHEN [value1] THEN [result1]…ELSE [default] END CASE [col_name] WHEN [value1] THEN [result1]…ELSE [defau
laravel实现批量添加数据
lxw1844912514的博客
04-20 8135
在使用laravel eloquent进行数据库操作的时候惊讶的发现这货居然不支持批量添加,看到网上很多人在循环里进行数据库插入操作来实现批量添加,我想说这样做是很损失性能滴!好在框架的DB门面里的insert方法可以进行批量插入。代码如下: $data= [ ['name'=>'111'], ['name'=>'222'], ]; DB::table(...
laravel批量插入或更新
热门推荐
孤独的梦1012
08-12 1万+
laravel批量插入或更新 在项目中常常有些需求是需要将大量的数据导入库中,如果库中不存在该条数据插入,存在则更新,典型应用场景:更新报表数据,有这些报表的数据归因时间长达28天,也就是28内的数据都会更新,每天还会产生新的数据,这时就需要对新的数据插入,老数据进行更新。在laravel中有批量插入,批量更新的方法,也有对单条数据的插入或更新方法,却没有对批量数据的插入或更新的方法。 需求...
laravel 批量插入_Laravel框架-数据填充(Seeder,Factory)实例分析
weixin_39765057的博客
12-03 785
Laravel Database :Seeder数据填充功能主要是指使用特殊规则,批量生成虚拟的数据库数据,用于实现对所开发的应用进行测试。如我们应用中存在用户信息表,需要填写测试1000名用户信息的存储及下一步业务操作使用,如果单独一条一条编写测试用的数据,所花费时间较长,成本较高。借助Laravel框架我们可以快速使用其提供的工具完成虚拟测试数据的批量生成与存储,本文结合实际教学需求,对数据填...
Laravel批量插入数据:提升数据库操作效率的秘诀
2401_85761762的博客
07-05 1756
在传统的数据库操作中,插入每条数据可能需要单独的SQL语句。但在Laravel中,可以使用批量插入来减少数据库交互次数,从而提高效率。如果数据数组的键不是模型的属性名,你可以在插入时指定列名。$data = [// 更多数据...], $data);
laravel框架之批量添加文件
Sunsaisai的博客
11-18 842
view视图中的代码 &lt;body&gt; &lt;form action="{{url('fuxi_yi')}}" method="post" enctype="multipart/form-data" &gt; {{csrf_field()}} 用户名:&lt;input type="text" name="user[]"&gt;&a
laravel批量插入
weixin_30474613的博客
05-31 409
在日常开发中,用到批量插入的操作还是挺多的。记得很早很早以前,我还是在循环中写sql插入,结果被项目经理按在地上摩擦。好吧,性能这东西,用不到的时候还好,万一性能成为瓶颈,那代码优化,数据库优化就首当其冲了。 废话不多说,开码! 好吧.我也曾经想过循环插入 别问我为什么 因为菜 学习源头:https://www.jianshu.com/p/b4b08a5a43fe 转载于:https:...
Laravel Model 的 fillable (白名单)与 guarded (黑名单)
仗剑天涯,从摘要开始
02-23 462
> 但是在新增前,需要先在模型类里设定好 fillableguarded 属性,因为 Eloquent 默认会防止批量赋值 例如 protected $fillable = ['name']; protected $guarded = ['price']; 定义了name 字段可以写入/修改,而 price 字段不可以。 需要注意的是,fillableguarded...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值