PHPMVC开发实战：字段检测与安全性提升

2025-09-30 理论教育版权反馈

【摘要】：系统对单个表单字段的处理主要有字段过滤、字段只读限制、字段类型检测等。例如在数据插入前，开发人员可以对表单中的字段进行敏感字检测，在获取数据时可以对单个字段中的数据进行替换。但是数据表字段对类型是有严格限制的，所以为了提高安全性，可以对数据字段进行强类型检测。通常情况下，字段类型检测用于数据的增加和修改，以达到完善数据的目的。

使用create方法创建数据系统会自动进行过滤和检测，但也可以单独对表单中的单一字段进行检测和过滤。系统对单个表单字段的处理主要有字段过滤、字段只读限制、字段类型检测等。下面分别进行介绍。

1.字段过滤

字段过滤可以对表单中的单个字段进行过滤，极大地方便了表单数据处理。例如在数据插入前，开发人员可以对表单中的字段进行敏感字检测，在获取数据时可以对单个字段中的数据进行替换。字段过滤只需要在自定义模型中定义$_filter属性即可（字段过滤需要继承于AdvModel模型）。$_filter属性格式如下。

这里所说的过滤字段是指数据表中的字段，如果表单中的字段与数据表中的字段不一样，则需要做字段映射（字段映射可参考本书7.1.1节）。写入前处理函数和读取前处理函数是指在common.php中自定义的函数。最后一个选项是指是否传入所有表字段，默认只传入过滤字段中定义的字段，可设置的选项有true及false。下面通过一个示例演示$_filter属性的使用。

仍然以tpk_article数据表为例，如果需要在数据插入前，对content字段进行额外处理。当content字段中存在URL字符串时，禁止用户输入完整的URL代码，而是只能输入一个字符串，系统自动将字符串转换成标准的HTML代码。同时在读取时系统会对编辑器中特定的UBB代码进行转换，以达到显示图片的目的。

首先让ArticleModel继续于AdvModel高级模型，然后定义$_filter属性，如以下代码所示。

如上述代码所示，contentWriteFilter函数是写入前的处理函数；contentReadFilter函数用于处理读取content字段前的处理函数，这2个处理函数均在Common/common.php中定义，代码如下所示。

最后就可以在动作中进行处理了。处理过程不需要开发人员干涉，系统会自动进行匹配，完成字段过滤的整个过程。如以下代码所示。(https://www.chuimin.cn)

读者可以在表单中输入url字符串，系统将自动转换成HTML代码。例如http://localhost转换成的html代码为<a href=http://localhost>http://localhost</a>。这里只是作为一个演示，事实上字段过滤在实际应用开发中是非常灵活的，可以应用在任何数据处理场合。

2.字段只读限制

为了使数据更加严谨，开发人员可以单独对特定的字段进行只读限制。被限制为只读的字段将不能接收数据插入、修改、删除指令，只能用于显示数据。只读字段通常用于会员中心数据的处理以及XML、SOAP等只作查询的场合。定义只读字段需要在自定模型中进行定义，并且需要继承AdvModel高级模型，如以下代码所示。

定义完只读字段后，然后对title、add_user、add_tim字段值进行增、删、改操作时，系统将停止执行。

3.字段类型检测

PHP是一种弱类型脚本语言，对变量的类型适配是自动的，也就是说PHP对变量的类型不做强制区分，这点与C、Java等强类型语言有着明显的区别。但是数据表字段对类型是有严格限制的，所以为了提高安全性，可以对数据字段进行强类型检测。

要开启字段类型检测，需要在配置文件中开启DB_FIELDTYPE_CHECK选项（默认false）。开启后，系统会强制检测数据表字段与数据变量之间的类型关系。通常情况下，字段类型检测用于数据的增加和修改，以达到完善数据的目的。

PHPMVC开发实战：字段检测与安全性提升

相关推荐