Php 保护模型的最佳方法->;从保存错误输入中加载()
在yii2应用程序中,我有Php 保护模型的最佳方法->;从保存错误输入中加载(),php,security,model,yii2,Php,Security,Model,Yii2,在yii2应用程序中,我有用户型号。例如,我有字段name和is_admin(0或1)。 当用户注册时,他只输入name 他有user/update页面来编辑他的姓名。但是,如果您是管理员,您也可以编辑everyones页面并设置is_admin字段(对于管理员,它在页面上可见) 规则如下: public function rules() { return [ ['name', 'string'], ['is_admin', 'integer'],
用户nameis_adminnameuser/update姓名is_adminpublic function rules()
{
return [
['name', 'string'],
['is_admin', 'integer'],
];
}
用户/更新name=“User[name]”name=“User[is\u admin]”1$model->load(Yii::$app->request->post())is_admin$\u POSTis_admin$model = User::findIdentity($id);
if ($model->load(Yii::$app->request->post())) {
if ($model->save())
...
}
使用
场景型号中const SCENARIO_USER_SAVE='USER SAVE';//任何你想称之为场景的东西
公共功能场景()
{
返回[
self::SCENARIO_USER_SAVE=>[“field1”、“field2”],//仅列出允许用户更新的字段
];
}
控制器中$model=User::findIdentity($id);
$model->scenario=User::scenario\u User\u SAVE;//使用场景
如果($model->load(Yii::$app->request->post()){
如果($model->save())
...
}
注意当您这样做时,场景中不允许的字段将具有
NULL$model->load(Yii::$app->request->post())更新:调用
$model->save()此处的详细指南:您可以在验证之前使用
ActiveRecord,在这种情况下,类似于:
class User extends ActiveRecord
{
public function beforeValidate(){
//If User Role is Not Admin $user is User ActiveRecord Object
if($user->role === 'user'){
$this->is_admin = 0;
}
parent::beforeValidate();
}
}
“场景中不允许的字段将具有空值”-这意味着如果用户无法设置is_admin
,此字段is_admin
将设置为NULL
?是。据我所知,它将不会更新,它将保持不变。谢谢您的回复。你们知道我可以在场景中设置你们不能更新的字段列表(而不是你们可以更新的列表)吗?我认为这是可能的。我自己没做过,所以不能确切地告诉你是怎么做的。