Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册
Laravel 社区 Wiki
展开或关闭
一. Laravel 框架基础
1. Laravel 基本信息
1.1. 什么是 Laravel? 1.2. 作者及其背后的团队 1.3. 有哪些版本? 1.4. 发行策略 1.5. 如何选择版本? 1.6. 如何升级? 1.7. Laravel 入门指南(新手必读)
2. Laravel 安装和开发环境
2.1. Composer 多线程下载加速 2.2. Windows 下开发环境抉择 2.3. Windows 开发环境布置 2.4. Mac 开发环境布置 2.5. 创建 Laravel 应用 2.6. Composer 国内加速镜像 2.7. 修改项目依赖为新的镜像地址
3. Laravel 配置
3.1. 数组类型的环境变量 3.2. 环境变量 .env 3.3. 设置配置信息 3.4. 获取配置信息 3.5. 设置环境变量 3.6. 获取环境变量 3.7. 判断当前环境 3.8. 环境变量类型
4. Laravel Homestead
4.1. Windows 免密登录虚拟机 4.2. 删除 Homestead Box 4.3. 加速下载和安装 4.4. 设置快捷访问 4.5. 所有配置详解 4.6. 安装 MariaDB 4.7. 安装 MongoDB 数据库 4.8. 安装 Elasticsearch 搜索引擎 4.9. 设置别名 4.10. 使用密码登录虚拟机 4.11. 连接 MySQL 数据库 4.12. 添加项目(站点) 4.13. 添加数据库 4.14. 虚拟机环境变量 4.15. 设置 Cron 计划任务 4.16. 配置 Mailhog 4.17. 端口转发 4.18. 切换 PHP 版本(PHP 命令行) 4.19. 切换 PHP 版本(PHP-FPM) 4.20. 使用 Apache 服务器 4.21. 删除 Homestead 4.22. 升级 Homestead 4.23. 多版本的 Homestead 4.24. 开启 NFS 解决站点响应缓慢 4.25. 主机连接 Redis 服务器 4.26. Mac 免密登录虚拟机 4.27. root 的密码是什么?
5. Laravel Valet
5.1. 安装 Valet 5.2. 简单操作 5.3. 局域网共享主机 5.4. 创建新的项目 5.5. 多个本地项目使用不同 PHP 版本
6. Laravel 部署
6.1. 服务器环境一键安装 6.2. Ubuntu 安装 PHP 6.3. Ubuntu 安装 MySQL 6.4. Ubuntu 安装 MongoDB 6.5. Nginx 配置 6.6. 文件夹权限 6.7. PHP-fpm 配置调优 6.8. 服务器优化清单
7. Laravel 路由
7.1. 路由动词 7.2. 路由参数约束 7.3. 路由命名 7.4. 路由前缀 7.5. 子域名设置 7.6. 自定义模型绑定 7.7. 访问控制(节流) 7.8. 伪造表单方法 7.9. 获取当前路由 7.10. 路由缓存和清理 7.11. 定义包含斜杆(/)的路由参数 7.12. 资源路由命名
8. Laravel 中间件
8.1. 所有自带中间件 8.2. 创建中间件 8.3. 注册全局中间件 8.4. 路由中间件 8.5. 中间件组 8.6. 中间件参数
9. Laravel 控制器
9.1. 控制器中使用中间件 9.2. 修改资源路由动作名称
10. Laravel 请求
10.1. 获取请求对象 10.2. 获取请求参数 10.3. 获取解析后的路由参数 10.4. 获取请求路径 10.5. 获取请求的完整 URL 10.6. 获取请求方法 10.7. 判断是否存在输入值 10.8. 获取上一次的输入数据 10.9. 判断是否是 Ajax 请求 10.10. 获取请求的标头信息
11. Laravel Cookie
11.1. 设置 Cookie 11.2. 获取 Cookie 11.3. 未加密的 Cookie 11.4. 删除 Cookie
12. Laravel 响应
12.1. 返回 HTML 12.2. 返回 JSON 12.3. 返回 xml 12.4. 返回 JSONP 12.5. 返回图片流 12.6. 返回 PDF (文件响应) 12.7. 流式下载 12.8. 返回文件下载 12.9. 302 暂时重定向 12.10. 增加头信息 12.11. 跳回上一次的请求 12.12. 重定向到路由 12.13. 重定向至控制器行为 12.14. 重定向后的闪存 12.15. 自定义响应类型 12.16. 永远返回 JSON 响应 12.17. 中间件实现返回 JSON 响应 12.18. 返回 JSON 数据 12.19. 返回 301 永久重定向
13. Laravel 视图
13.1. 循环变量 $loop 13.2. 传递参数给视图 13.3. 视图合成器 13.4. 获取模板的 HTML 内容
14. Laravel URL 处理
14.1. 当前 URL 14.2. 路由命名生成 URL 14.3. URL 签名 14.4. 控制器行为生成 URL 14.5. 通过 URL 获取路由参数 14.6. 获取当前 URL 的 N 种方法
15. Laravel 会话管理
15.1. 数据库驱动配置 15.2. Redis 驱动配置 15.3. 存入会话数据 15.4. 读取会话数据 15.5. 删除会话数据 15.6. 重新生成会话 ID 15.7. 自定义会话驱动
16. Laravel 表单验证
16.1. 自定义验证规则 16.2. 手动创建验证器 16.3. 表单验证类 16.4. 多种验证规则设定的类型 16.5. 自定义规则 16.6. 获取错误消息 16.7. 自定义错误信息 16.8. 验证 URL 16.9. 验证用户名 16.10. 验证 Email 16.11. 验证数据库唯一值 16.12. 密码验证 16.13. 上传文件大小控制 16.14. 限制上传图片宽度和高度 16.15. 验证数据库记录是否存在 16.16. 验证 IP 16.17. 验证 MIME 信息 16.18. 存在时再验证 16.19. 自定义验证规则
17. Laravel 错误处理
17.1. 显示错误 17.2. 静默报告异常 17.3. 忽略异常 17.4. 自定义 403 页面 17.5. 自定义 404 页面 17.6. 自定义 500 页面 17.7. 抛出 404/403/500 异常 17.8. 自定义异常响应
18. Laravel 日志管理
18.1. 日志级别 18.2. 记录错误 18.3. 查看错误日志 18.4. 将错误日志显示在浏览器控制台 18.5. 自带错误通道 18.6. 自定义错误通道 18.7. 按日期切割日志 18.8. 日志权限
19. Laravel Blade 模板
19.1. 模板继承 19.2. 加载子视图 19.3. 组件注入 19.4. 组件别名 19.5. 显示未转义数据 19.6. 为 JS 渲染 JSON 数据 19.7. 全局关闭 HTML 实体转义 19.8. 兼容 JavaScript 框架变量 19.9. 循环中的变量 19.10. Blade 中的注释 19.11. 书写 PHP 代码 19.12. 自定义 Blade 指令 19.13. 自定义条件指令 19.14. 在 Blade 中设置变量
20. Laravel 本地化
20.1. 区域设置 20.2. 获取当前语言环境 20.3. 两种翻译方式 20.4. 翻译占位符 20.5. 重写扩展包的语言文件 20.6. 多语言网站 URL 设置
21. Laravel 前端
21.1. 移除 Boostrap 和 Vue 21.2. 使用 Vue 组件 21.3. 使用 React
22. Laravel Mix
22.1. 监听资源文件修改 22.2. 编译 Less 样式 22.3. 编译 Sass 样式 22.4. 编译 Stylus 样式 22.5. 复制目录和文件夹 22.6. 版本控制 / 缓存清除 22.7. Browsersync 浏览器自动刷新
23. Laravel 登录和注册
23.1. 生成认证 23.2. 登录成功后的跳转 23.3. 自定义用户名 23.4. 新增注册用字段 23.5. 检查用户是否登录 23.6. 获取登录用户信息 23.7. 登录用户才能访问的路由 23.8. 未登录用户才能访问路由 23.9. 重定向未认证的用户 23.10. 登录限制(防暴力破解) 23.11. 登录用户 23.12. 记住用户(长久登录) 23.13. HTTP 基础认证 23.14. 退出登录 23.15. 让其它设备上的会话失效 23.16. 验证邮箱 23.17. 重置密码 23.18. 一段时间内自动登录
24. Laravel API 认证
24.1. JWT 认证 24.2. OAuth 认证
25. Laravel 用户授权
25.1. 设置授权规则 25.2. 判断是否授权
26. Laravel 加密解密
26.1. 加密 26.2. 解密 26.3. 密码哈希检测
27. Laravel Artisan 命令行
27.1. 查看命令帮助信息 27.2. 创建一个命令 27.3. 简单的闭包命令 27.4. 设定必要参数 27.5. 设定可选参数 27.6. 设定命令选项 27.7. 参数和选项的区别 27.8. 输入数组 27.9. 参数和选项说明 27.10. 选项简写 27.11. 获取参数 27.12. 获取选项 27.13. 询问 / 交互式输入 27.14. 选择型输入 27.15. 单行输出 27.16. 表格输出 27.17. 命令行进度条 27.18. 代码里调用命令 27.19. 命令里互相调用 27.20. 检测是否在命令行执行? 27.21. 调用外部命令
28. Laravel 文件操作
28.1. 获取上传文件 28.2. 验证是否成功上传 28.3. 获取上传文件的路径和扩展名 28.4. 保存上传文件
29. Laravel Eloquent
29.1. 判断数据是否存在 29.2. 模型监听器中判断某字段是否更改 29.3. 获取『上一条』/『下一条』记录 ID 29.4. 临时禁用 Laravel 的模型观察者 29.5. 获取随机的数据 29.6. 获取模型查询生成的 SQL 语句 29.7. 模型删除时的连带删除 29.8. 获取某字段修改前的值 29.9. 修改 created_at 和 updated_at 名称 29.10. 模型依赖关系查询 29.11. 多对多关联中间表字段排序
30. Laravel 数据库
30.1. 合并多个 where 请求 30.2. 连接多个 MySQL 数据库 30.3. 修改字段字符集 30.4. 判断字段是否存在 30.5. 判断数据表是否存在 30.6. 输出 SQL 语句
31. Laravel 分页
31.1. 分页 URL 中加入井号(#) 31.2. 增加 URL 参数
32. Laravel 调试
32.1. 使用 Laravel-debugbar 调试 32.2. 更好的 Debug 函数 dd => dda 32.3. 500 或命令行报错但无日志怎么办?
33. Laravel 安全
33.1. 避免 SQL 注入 33.2. 批量赋值 fillable 与 guarded 33.3. CSRF Token 过期时间
34. Laravel 目录结构
34.1. 自定义函数的存放位置
35. Laravel 迁移
35.1. 设置字段默认当前时间
36. Laravel 队列
36.1. 如何查看队列报错信息?
二. Laravel 核心编程
37. Laravel Facades
37.1. 创建 Facades
38. Laravel 服务容器
38.1. 创建一个单例模式 38.2. 罗列所有的单例对象
三. Laravel 编码技巧
40. Laravel 图片处理
40.1. 验证码 40.2. 图片水印
四. Laravel 参考
42. Laravel 集合
42.1. 检索重复值 42.2. 遍历集合 42.3. 调试输出集合
五. PHP扩展包
43. phpspreadsheet
43.1. 迭代方式读取 Excel
六. Laravel 开发软件
44. PhpStorm
44.1. PhpStorm 插件

Laravel 安全:批量赋值 fillable 与 guarded 2 个改进

Laravel 的模型中有两个 protected 字段 fillableguarded,注意:必须是 protected 以上开放程度。 我们经常通过提交表单进行数据的增删改,为了方便的进行数据批量修改操作 Laravel 提供了批量赋值机制:

假如我们想要在数据库表中添加一行,我们可以使用模型这么操作:

$post = Post::create($request->all());

这样我们就直接将表单中提交过来的所有信息直接录入进了数据库,是不是很方便,但是 这样是非常不安全的,对于用户输入的数据,我们应该永远的谨慎对待。 假如我们的 posts 表里有一个字段 user_id,是用来标记发布者的,按照以上的写法,用户可以伪造成任何人发布内容,只需要模拟表单提交并设定 user_id 字段即可。 此问题是被我们也称为批量注入 的安全问题。

Laravel 中的模型就提供了 fillableguarded,是专门用来解决批量注入问题的。使用也是非常简单,两者是 互斥关系,存在一个就好,如果同时存在,fillable 优先级较高

fillable 变量存储允许自动填充模型字段的数组,可以理解为字段修改 白名单,比如:

protected  $fillable = ['title', 'body', 'category_id'];

guarded 变量存储 不允许 自动填充的模型字段,是修改字段的黑名单,比如:

protected  $guarded=['user_id'];

有时候我们希望通过 Post::create($data) 的方式存储表单数据,我们会在 $data 中存放一些敏感信息,但是一些敏感信息,create 方法会直接过滤掉怎么办? 难道要存入数据库之后再....

$post->user_id = Auth::id();
$post->save();

这不是要写入两次数据库!我们可以这么来:

$post = new Post($data);
$post->user_id = Auth::id();
$post->save();

我们先使用 Laravel 自带的批量赋值机制过滤一遍敏感信息,然后我们自己来过滤敏感信息的输入。

注意:当模型中未指定 fillableguarded 时,即 $fillable=[] and $guarded=['*'] 时,传入模型实例化参数时会报 MassAssignmentException 错误。每一次当你看到此提示,应该很欣慰,因为这是 Laravel 为你避免批量注入的安全问题。

laravel eloquent database security
本文为 Wiki 文章,邀您参与纠错、纰漏和优化
讨论数量: 5
排序:
时间 投票
wojianduanfa
2 声望

$post = Post::creat($request->all()); 这里面的creat应该是create

5年前 评论
1
ibucoin
课程读者 395 声望 / 某职位 @ 某公司

$post = Post::creat($request->all());
这个是create

5年前 评论
jiangxiulong
课程读者 4 声望

数据库插入了条数据,但是全部数据都是空和默认值 是怎么回事

3年前 评论
fazi
课程读者 0 声望

数据库每加一个可写字段,都要在fillable里添加,感觉还是麻烦的。

1年前 评论
season886
0 声望

我还是迷茫,数据库既然有字段,肯定都要插入或者更新的! 不让写是什么情况

5个月前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消