Thinkphp3.1版增加了表單提交的字段合法性檢測，可以更好的保護數據的安全性。這一特性是3.1安全特性中的一個重要部分。

表單字段合法性檢測需要使用create方法創建數據對象的時候才能生效，具體有兩種方式：

一、屬性定義

可以給模型配置insertFields 和 updateFields屬性用于新增和編輯表單設置，使用create方法創建數據對象的時候，不在定義范圍內的屬性將直接丟棄，避免表單提交非法數據。

insertFields 和 updateFields屬性的設置采用字符串（逗號分割多個字段）或者數組的方式，例如：

class UserModel extends Model{  protected $insertFields = array('account','password','nickname','email');  protected $updateFields = array('nickname','email'); }

設置的字段應該是實際的數據表字段，而不受字段映射的影響。

在使用的時候，我們調用create方法的時候，會根據提交類型自動識別insertFields和updateFields屬性：

D('User')->create();

使用create方法創建數據對象的時候，新增用戶數據的時候，就會屏蔽'account','password','nickname','email' 之外的字段，編輯的時候就會屏蔽'nickname','email'之外的字段。

下面是采用字符串定義的方式，同樣有效：

class UserModel extends Model{  protected $insertFields = 'account,password,nickname,email';  protected $updateFields = 'nickname,email'; }

二、方法調用

如果不想定義insertFields和updateFields屬性，或者希望可以動態調用，可以在調用create方法之前直接調用field方法，例如，實現和上面的例子同樣的作用：

在新增用戶數據的時候，使用：

$User = M('User');$User->field('account,password,nickname,email')->create();$User->add();

而在更新用戶數據的時候，使用：

$User = M('User');$User->field('nickname,email')->create();$User->where($map)->save();

這里的字段也是實際的數據表字段。field方法也可以使用數組方式。

使用字段合法性檢測后，你不再需要擔心用戶在提交表單的時候注入非法字段數據了。顯然第二種方式更加靈活一些，根據需要選擇吧！

php技術：ThinkPHP3.1新特性之字段合法性檢測詳解，轉載需保留來源！

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。