多数大学生出来选择的工作和专业无关
首页 > 专业知识

ThinkPHP3.1新特性之查询条件预处理简介

时间:2018-10-13 17:38:25 [来源]:郑州PHP培训学校

   ThinkPHP3.1新特性之查询条件预处理简介

  以往的ThinkPHP3.0版本对数组方式的查询条件会进行安全过滤(这是由于3.0强制使用了字段类型检测,所以数组方式的查询条件会强制转换为字段的设定类型),但是3.0版本并不支持字符串条件的安全过滤。而ThinkPHP3.1版本则增加了对条件字符串进行预处理的支持,让ORM的安全性更加得以保证。
  一、使用where方法
  Model类的where方法支持字符串条件预处理,使用方式:$Model->where("id=%d and username='%s' andxx='%f'",array($id,$username,$xx))->select();或者直接使用:
  $Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();如果$id变量来自用户提交或者URL地址的话,如果传入的是非数字类型,则会强制格式化为数字格式后进行查询操作。
  字符串预处理格式类型支持指定数字、字符串等,具体可以参考vsprintf方法的参数说明。
  二、使用query和execute方法
  除了where条件外,对原生SQL查询方式也支持预处理机制,例如:
  $Model->query("SELECT * FROM think_user WHERE id=%d and username='%s' and xx='%f'",array($id,$username,$xx));模型的execute方法也和query方法一样支持预处理机制。
  ThinkPHP3.1新特性之字段合法性检测详解
  ThinkPHP3.1版增加了表单提交的字段合法性检测,可以更好的保护数据的安全性。这一特性是3.1安全特性中的一个重要部分。
  表单字段合法性检测需要使用create方法创建数据对象的时候才能生效,具体有两种方式:
  一、属性定义
  可以给模型配置insertFields 和 updateFields属性用于新增和编辑表单设置,使用create方法创建数据对象的时候,不在定义范围内的属性将直接丢弃,避免表单提交非法数据。
  insertFields 和 updateFields属性的设置采用字符串(逗号分割多个字段)或者数组的方式,例如:
  class UserModel extends Model{  protected $insertFields = array('account','password','nickname','email');  protected $updateFields = array('nickname','email'); }
  设置的字段应该是实际的数据表字段,而不受字段映射的影响。
  在使用的时候,我们调用create方法的时候,会根据提交类型自动识别insertFields和updateFields属性:
  D('User')->create();
  使用create方法创建数据对象的时候,新增用户数据的时候,就会屏蔽'account','password','nickname','email' 之外的字段,编辑的时候就会屏蔽'nickname','email'之外的字段。
  下面是采用字符串定义的方式,同样有效:
  class UserModel extends Model{  protected $insertFields = 'account,password,nickname,email';  protected $updateFields = 'nickname,email'; }
  二、方法调用
  如果不想定义insertFields和updateFields属性,或者希望可以动态调用,可以在调用create方法之前直接调用field方法,例如,实现和上面的例子同样的作用:
  在新增用户数据的时候,使用:
  $User = M('User');$User->field('account,password,nickname,email')->create();$User->add();而在更新用户数据的时候,使用:
  $User = M('User');$User->field('nickname,email')->create();$User->where($map)->save();这里的字段也是实际的数据表字段。field方法也可以使用数组方式。
  使用字段合法性检测后,你不再需要担心用户在提交表单的时候注入非法字段数据了。显然第二种方式更加灵活一些,根据需要选择吧!
  ThinkPHP3.1新特性之动态设置自动完成和自动验证示例以往在ThinkPHP3.1版本之前,如果需要设置自动验证或者自动完成,一般来说必须定义在模型中,或者通过setProperty方法动态设置属性来完成,这样做的缺点是不太方便动态改变和调整。
  ThinkPHP3.1版本在模型类中增加auto和validate两个连贯操作,用于动态设置自动完成和自动验证规则,现在可以在Action中使用:
  $validate = array(  array('verify','require','验证码必须!'),   array('name','','帐号名称已经存在!',0,'unique',1),  );$auto = array (   array('password','md5',1,'function') ,   array('create_time','time',2,'function'),  );M('User')->auto($auto)->validate($validate)->create();其中$auto和$validate变量的规范和模型类的_auto和_validate属性的定义规则一致,而且还可以支持函数调用(由于PHP本身的限制,在类的属性定义中不能调用函数)。
  auto和validate方法必须在create方法之前被调用。
  通过这一改进,你完全可以通过M方法实例化模型类后使用动态设置完成自动验证和自动完成操作,不必再依赖D方法了。
 

上一篇:PHP获取当前url的具体方法介绍

下一篇:PHP内核探索之PHP中的哈希表