CodeDogg

Metoda safeAttributes(), czyli grupowe przypisywanie pól formularza

Metoda określa które atrybuty modelu mogą zostać przypisane grupowo podczas przekazywania danych z formularza do instancji modelu.

Przykład przypisania grupowego:

$post->attributes=$_POST['Post'];

Bez przypisywania grupowego musielibyśmy każdy atrybut modelu przypisać ręcznie do odpowiedniego pola formularza, np:

$post->title=$_POST['Post']['title'];

$post->content=$_POST['Post']['content'];

Przypisywanie grupowe niesie ze sobą potencjalne niebezpieczeństwo polegające na tym, że użytkownik będzie próbował wypełnić atrybut, którego wartość może być ustawiona tylko przez programistę (skrypt) np. id, godzina utworzena, aktualizacji, itp.

Aby zabezpieczyć się przed tym niebezpieczeństwem, w metodzie safeAttributes() w tablicy, określamy bezpieczne atrybuty, a więc te które mogą zostać przypisane grupowo.

Przykład metody safeAttributes() na przykładzie aplikacji bloga:

public function safeAttributes()

{

return array('title', 'content', 'status', 'tags');

}

Atrybuty modelu, które pojawiają się w formularzu w celu otrzymania danych wprowadzonych przez użytkownika mogą zostać zadeklarowane jako bezpieczne. Ponieważ te atrybuty otrzymywane są z wejść wprowadzonych przez użytkowników końcowych, powinny one zazwyczaj być powiązane z pewnymi regułami sprawdzania poprawności.