成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

Yii2中場景scenario和驗證規(guī)則rule的示例分析-創(chuàng)新互聯(lián)

小編給大家分享一下Yii2中場景scenario和驗證規(guī)則rule的示例分析,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

10多年建站經(jīng)驗, 網(wǎng)站建設(shè)、網(wǎng)站制作客戶的見證與正確選擇。成都創(chuàng)新互聯(lián)公司提供完善的營銷型網(wǎng)頁建站明細報價表。后期開發(fā)更加便捷高效,我們致力于追求更美、更快、更規(guī)范。

前言

場景,顧名思義,就是一個情景,一種場面。在yii2中也有場景,這個場景跟你所理解的場景含義差不多。


和用戶有交互的系統(tǒng)必不可少的功能包括收集用戶數(shù)據(jù)、校驗和處理。實際業(yè)務(wù)中,往往還需要將數(shù)據(jù)進行持久化存儲。出于安全考慮,開發(fā)人員應(yīng)當(dāng)牢牢把握“客戶端的輸入都是不可信”的準(zhǔn)則,客戶端傳過來的數(shù)據(jù)先進行過濾和清洗后再存儲或傳遞到內(nèi)部系統(tǒng)。

Yii2推薦使用Model類來收集和校驗用戶數(shù)據(jù),持久化的ActiveRecord類是其子類。Model類的load和validate兩個方法,分別用來收集和校驗客戶端數(shù)據(jù)。哪些數(shù)據(jù)應(yīng)該被收集,哪些數(shù)據(jù)需要在什么場景下驗證,便是本文的主題:場景(scenario)和驗證規(guī)則(rule)。

系統(tǒng)結(jié)構(gòu)


先引入一個簡單的業(yè)務(wù)系統(tǒng):系統(tǒng)中存在學(xué)生和教師兩種角色,數(shù)據(jù)庫中使用了三張表保存角色信息:

user: [id, username, password, status, 其他通用屬性]

student: [id, user_id, student_no, grade, class, 其他學(xué)生屬性]

teacher: [id, user_id, work_no, title, telphone, 其他教師屬性]

實際業(yè)務(wù)不限于對這三張表的增刪查改操作。為了簡化問題,后續(xù)僅討論user和student兩張表的數(shù)據(jù)變更(給出teacher表是為了讓讀者不認為設(shè)計數(shù)據(jù)庫的人是腦殘:明明可以放到一張表的,為什么要拆開?。?。

學(xué)生報名


學(xué)生報名是典型的增刪查改操作,送分題。學(xué)生報名的簡要代碼示例如下:

public function actionSignup()
{
 $data = Yii::$app->request->post();
 $user = new User();
 $user->load($data);
 if ($user->save()) {
  $student = new Student([
   "user_id" => $user->id,
  ]);
  $student->load($data);
  if ($student->save()) {
   // redirect to success page
  } else {
   $user->delete();
  }
 }
 // render error page
}

相信有Yii2使用經(jīng)驗的人都能根據(jù)數(shù)據(jù)庫的字段約束快速的把User和Student類的rules方法寫出來。例如User類文件內(nèi)容可能如下:

namespace app\models;
class User extends \yii\db\ActiveRecord
{
 public function rules()
 {
  return [   [["username", "password", "status",], "required"],
   ["username", "unique"],
   // other rules
  ];
 }
 // other method
}

定義數(shù)據(jù)的驗證規(guī)則,這是大多數(shù)人對rules的第一印象,并且是一個很好的印象:它打回非法的數(shù)據(jù),讓正常的數(shù)據(jù)進入系統(tǒng)中。安全的實踐應(yīng)該盡量定義完整的規(guī)則,充分驗證數(shù)據(jù)。也建議每一個Yii2開發(fā)人員對內(nèi)置的核心校驗器熟悉。

修改信息


修改信息,也是典型的增刪查改操作。實現(xiàn)代碼和報名差別不大,這里僅討論兩點:

1、用戶密碼的驗證

注冊時會校驗用戶密碼是否8-16位,密碼的規(guī)則可能是:["password", "string", "length" => [8, 16]]。明文保存密碼是不可取的,插入數(shù)據(jù)庫時至少會做MD5加密,password變成32位。假設(shè)用戶修改信息時未修改密碼,再次保存時密碼規(guī)則校驗出錯(長度不符合),無法保存!

怎么解決這個問題呢?翻閱Yii文檔,發(fā)現(xiàn)了規(guī)則中的when屬性可以救場。一種可能的驗證規(guī)則是:

public function rules()
{
 return [
   ["password", "string", "length" => [8, 16], 'when' => function ($model) {
    return $model->isNewRecord;
   }],
   // other rules
  ];

只有在注冊(新增數(shù)據(jù))時才校驗密碼字段。問題解決,完美!

2、防止用戶私自改密碼

假設(shè)有個小聰明的家伙(例如湯姆),發(fā)現(xiàn)系統(tǒng)是用Yii框架做的,想搞點小破壞炫耀一下水平。在發(fā)送修改信息的表單時,湯姆增加&password=12345678這一段數(shù)據(jù)。系統(tǒng)使用$user->load($data)收集用戶輸入,更新password字段,帶來如下后果:rules設(shè)置更新時不校驗密碼字段,12345678直接作為password的值保存到數(shù)據(jù)庫中。這個操作帶來連鎖反應(yīng):用戶再次登錄時,加密過后的密碼與數(shù)據(jù)庫中的明文密碼不匹配,導(dǎo)致湯姆無法登錄系統(tǒng)。煩人的是湯姆是個刺頭,登錄不上后整天騷擾客服,不省心!

怎么樣防止這種情況出現(xiàn)呢?一種解決的方法是阻止修改密碼:

unset($data["password"]); 
$user->load($data);
// 或者
$password = $user->password;
$user->load($data);
$user->password = $password;

把用戶輸入的密碼過濾掉,私自修改密碼的問題就解決了。

但是問題還沒有結(jié)束:湯姆可以轉(zhuǎn)向修改其他字段,比如說性別,身份證等。更嚴重情況是修改student中user_id,就可以更改任意學(xué)生的信息。事情十分嚴重,需要馬上修復(fù)漏洞。

可以按照密碼的方法,逐個屏蔽受保護屬性,但顯得啰嗦難看(雖然好使)。如果受保護屬性多,可以僅允許白名單進入,具體操作為:新增一個UpdateInfoForm類繼承Model,屬性是白名單屬性合計。用UpdateInfoForm類過濾用戶數(shù)據(jù),校驗通過后再更新到user和student中:

$form = new UpdateInfoForm();
$form->load($data);
if ($form->validate()) {
 $user->load($form->attributes);
 $student->load($form->attributes);
 // next biz
}

這種方式更優(yōu)雅,但仔細一想代價不小:屬性和驗證規(guī)則要重復(fù)寫一遍;user和student保存時又重復(fù)校驗屬性。這種方式看起來優(yōu)雅,實際上卻冗余又低效。

scenario的登場,完美的解決解決上述問題。

場景(scenario)


分析上面問題,會發(fā)現(xiàn)關(guān)鍵點是批量賦值(massive assignment)和數(shù)據(jù)校驗(validate)兩個方法。如果對不同的場景指定賦值字段和檢驗規(guī)則,問題就迎刃而解。

Yii中的scenario有 安全屬性 和 活躍屬性 兩個概念。安全屬性用在批量賦值的load方法,只有安全屬性才能被賦值;活躍屬性用在規(guī)則校驗的validate方法,在活躍屬性集中并且定義了校驗規(guī)則的屬性才會被校驗?;钴S屬性和安全屬性的關(guān)系是,安全屬性是活躍屬性的子集。

\yii\base\Model類定義了默認場景:SCENARIO_DEFAULT(值為default)。默認場景下,出現(xiàn)在rules方法中的屬性既是活躍屬性,又是安全屬性(這句話基本正確,看后續(xù)解釋)。為不同場景指定活躍屬性、安全屬性以及校驗器,可以通過覆蓋senarios或rules兩個方法實現(xiàn)(幾乎每個Model類都會重寫rules方法,senarios用得少)。

rules


先看rules方法。默認的屬性加校驗器定義方式,讓每個屬性既是安全屬性,也是活躍屬性。如果想讓某個屬性不是安全屬性(不能通過load批量賦值),在屬性名前加感嘆號!即可。例如student中的user_id字段:

public function rules()
{
 return [
  ["!user_od", "required"],
  ["!user_id", "integer"],
  ["!user_od", "unique"],
  // other rules
 ];
}

user_id是活躍屬性,在寫入數(shù)據(jù)庫時會被校驗。但它不是安全屬性,不能通過load方法進行賦值,解決了安全隱患。

再看rules方法按場景區(qū)分校驗器規(guī)則的做法:定義校驗器時on屬性指定規(guī)則在哪些場景下生效,except屬性則排除一些場景(如果不指定on和except,規(guī)則對所有場景生效)。例如:

public function rules()
{
 return [
  ["password", "string", "length" => [8, 16], "on" => ["signup"]], // 僅在signup場景時才被驗證
  ["status", "integer", "except" => ["signup"], // 除了signup場景,其他情況都校驗
  // other rules
 ];
}

在原來基礎(chǔ)上新增感嘆號和on/except屬性,非常簡便的就定義了非安全屬性以及分場景指定校驗規(guī)則。

scenarios


另外一種更清晰定義安全屬性和活躍屬性的做法是重寫scenarios方法。scenarios方法返回一個數(shù)組,數(shù)組的鍵是場景名稱,值是活躍屬性集合(包飯安全屬性)。例如student表的可能實現(xiàn)如下:

public function scenarios()
{
 return [
  self::SCENARIO_DEFAULT => ["!user_id", "grade", "class", xxxx],
  "update" => ["grade", "class", xxxx],
 ];
}

默認情形下(學(xué)生報名),年級、班級這些信息是安全屬性,但user_id不是,只能在程序內(nèi)部賦值,并在插入數(shù)據(jù)時被校驗;在修改信息時,user_id不是活躍屬性,既不能被批量賦值,也不需要校驗(事實上它不應(yīng)該改變)。

scenarios方法只能定義活躍屬性和安全屬性,無法定義校驗規(guī)則,需要和rules配合使用。

以上是“Yii2中場景scenario和驗證規(guī)則rule的示例分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對大家有所幫助,如果還想學(xué)習(xí)更多知識,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道!

網(wǎng)頁標(biāo)題:Yii2中場景scenario和驗證規(guī)則rule的示例分析-創(chuàng)新互聯(lián)
分享地址:http://jinyejixie.com/article26/icpjg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供手機網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作靜態(tài)網(wǎng)站微信公眾號、做網(wǎng)站用戶體驗

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

手機網(wǎng)站建設(shè)
图木舒克市| 高州市| 五大连池市| 错那县| 永登县| 三台县| 和政县| 抚远县| 泗洪县| 唐河县| 永福县| 长葛市| 定南县| 交口县| 财经| 门源| 城口县| 靖西县| 东乌珠穆沁旗| 通州区| 盐亭县| 郯城县| 乌拉特前旗| 崇文区| 余庆县| 海兴县| 怀化市| 库伦旗| 应城市| 横山县| 锡林浩特市| 福鼎市| 乐至县| 和硕县| 南投县| 顺平县| 龙岩市| 金门县| 乐陵市| 大余县| 盘锦市|