最近我完成了关于使用CakePHP创建简单博客的教程 - 这里是链接:http://book.cakephp.org/2.0/en/tutorials-and-examples/blog/part-two.html 创建验证表单非常简单快捷,但我注意到了一个问题。如何让CakePHP验证更安全?
命名post.ctp文件包含:
echo $this->Form->create('Post');
echo $this->Form->input('title');
而且它产生的形式最终用户与该输入:谁在使用Firefox的萤火虫可以更改HTML代码提交表单之前
<input id="PostTitle" type="text" required="required" maxlength="50" name="data[Post][title]">
有人从:name="data[Post][title]"
到:name="data[Post][author]"
。这样做的结果将更新名为“作者”的列,而不是“标题”,并允许使用“title”的空数据更新数据库。
在名为post.php中“模式”的有效性规则的文件夹不防止:
class Post extends AppModel {
public $validate = array(
'title' => array(
'rule' => 'notEmpty'
),
'body' => array(
'rule' => 'notEmpty'
)
);
}
如何保护我的应用程序,而不是让别人在更新数据库中其他列?
谢谢。它工作完美。我只是将组件中的行更新为'public $ components = array('Session','Security');'而没有更多配置。它在开始时起作用。当我试图做同样的事情时,我得到了“请求已被黑洞”的消息。完善。他们应该在第一个教程中加入,因为这很重要。 – Lucas 2013-02-10 09:16:17