Cake-PHP.ru
Форум программистов CakePHP
(на сайт)
Watched Topics
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
Список форумов Cake-PHP.ru
->
Общий
Ответить
Имя
Тема
Сообщение
Смайлики
Дополнительные смайлики
Цвет шрифта:
По умолчанию
Тёмно-красный
Красный
Оранжевый
Коричневый
Жёлтый
Зелёный
Оливковый
Голубой
Синий
Тёмно-синий
Индиго
Фиолетовый
Белый
Чёрный
Размер шрифта:
Размер шрифта
Очень маленький
Маленький
Обычный
Большой
Огромный
Закрыть теги
[quote="Bes"]Спасибо. Мне, правда, собственное решение нравится больше — удобнее один раз в модели описать запрещённые поля, чем в каждом сейве разрешённые. И, хотя это чревато муторным дебагом, всё же, буду спокоен, что по умолчанию уязвимость закрыта. Ну и штатное решение тоже буду применять теперь.[/quote]
Настройки
HTML
ВЫКЛЮЧЕН
BBCode
ВКЛЮЧЕН
Смайлики
ВКЛЮЧЕНЫ
Отключить в этом сообщении BBCode
Отключить в этом сообщении смайлики
Если у вас плохое зрение или вы не можете прочесть этот код по какой-то другой причине, то обратитесь за помощью к
Администратору
.
Код подтверждения: *
Введите код в точности так, как вы его видите. Код является регистро-зависимым, а символ нуля имеет косую линию внутри цифры.
Часовой пояс: GMT + 3
Перейти:
Выберите форум
CakePHP Форум
----------------
Общий
Установка и настройка
Творчество
Вопросы и пожелания
Комментарии к главам руководства по CakePHP 1.1
Обзор темы
<table border="0" cellpadding="3" cellspacing="1" width="100%" class="forumline"> <tr> <th class="thCornerL" width="22%" height="26">Автор</th> <th class="thCornerR">Сообщение</th> </tr> <tr> <td width="22%" align="left" valign="top" class="row1"><span class="name"><a name=""></a><b>bunyan</b></span></td> <td class="row1" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 04 Дек 2008 03:00:49<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Есть еще свойство whitelist у модели. Можно указать в нем разрешенные поля "в общем", а whitelist-ом метода save() пользоваться в случаях, когда нужно указать другой набор полей.</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row2"><span class="name"><a name=""></a><b>Bes</b></span></td> <td class="row2" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 03 Дек 2008 22:20:16<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Спасибо. <br />Мне, правда, собственное решение нравится больше — удобнее один раз в модели описать запрещённые поля, чем в каждом сейве разрешённые. И, хотя это чревато муторным дебагом, всё же, буду спокоен, что по умолчанию уязвимость закрыта. <br />Ну и штатное решение тоже буду применять теперь.</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row1"><span class="name"><a name=""></a><b>bunyan</b></span></td> <td class="row1" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 03 Дек 2008 15:26:58<span class="gen"> </span> Заголовок сообщения: </span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Есть параметр whitelist у метода save(), третий, по-моему. В нем можно указать поля, разрешенные для сохранения.</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> <tr> <td width="22%" align="left" valign="top" class="row2"><span class="name"><a name=""></a><b>Bes</b></span></td> <td class="row2" height="28" valign="top"><table width="100%" border="0" cellspacing="0" cellpadding="0"> <tr> <td width="100%"><img src="templates/subSilver/images/icon_minipost.gif" width="12" height="9" alt="Сообщение" title="Сообщение" border="0" /><span class="postdetails">Добавлено: 02 Дек 2008 22:19:49<span class="gen"> </span> Заголовок сообщения: Защита полей модели</span></td> </tr> <tr> <td colspan="2"><hr /></td> </tr> <tr> <td colspan="2"><span class="postbody">Допустим, есть модель хранящая некий user generated content (пост в форуме, коммент в блоге, объявление и т.п.). Путь модель называется Post. Каждая новая запись просматривается и одобряется администратором. Модель имеет поле status, принимающее значение pending, approved или rejected. Допустим, согласно логике приложения автор в любой момент может редактировать запись. При помощи нехитрых манипуляций автор может добавить в форму редактирования поле data[Post][status] со значением approved или любым другим и при сохранении данных обычным $this->Post->save($this->data) в контроллере, поле status будет изменено. <br /> <br />Существует ли штатная возможность защитить поля модели от изменения подобным образом, как в рельсах, например? <br /> <br />На данный момент лучшим решением мне кажется автоматическое удаление защищённых полей из массива controller->data в beforeFilter. <br />Другие идеи?</span></td> </tr> </table></td> </tr> <tr> <td colspan="2" height="1" class="spaceRow"><img src="templates/subSilver/images/spacer.gif" alt="" width="1" height="1" /></td> </tr> </table>
Powered by phpBB © 2001, 2005 phpBB Group
Русская поддержка phpBB
Если ничего интересного не нашли, можно рекламу почитать, а рекламируется у нас сегодня «».
Watched Topics
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход