一、create()方法
create()方法用于创建数据对象,创建成功返回一个数组,失败返回一个false。因为在进行数据库操作(CRUD)之前,需要手动创建需要的数据。但是create()方法所做的工作并非只是创建一个数据对象那么简单!
create()可以自动根据POST传递过来的数据创建数据对象,特别强调一下,必须得是POST方式传递过来的,其它方式不行,测试如下
method为空,则默认是get方式
method为post
在测试中发现了一个问题,就是如果表单控件的名称不在模型中数据表字段中,则create()方法是不会创建它的
User这个模型类中数据表字段如下
如果将密码框的名称改成pwd,则create()方法不会创建之,因为在User模型中找不到与之相同的数据表字段名称
倘若将密码框的名称改成id,则结果如下
至于为啥可以直接在动作中去访问$_POST,是因为它是一个超全局变量
1、create()创建数据对象的方式有几种
·自动创建
即自动根据$_POST这个超全局变量创建数据对象,直接$Model->create()即可
·根据其它数组创建
ps,同样的道理,关联数组的键必须在User模型中有与之相同的数据表字段名
·根据其它模型对象创建
2、create()方法不只是创建数据对象,还完成了很多其它的工作,比如说令牌验证、自动映射、自动填充、自动验证等等!那么如果只想简单的创建一个数据对象,即并不需要完成其它一些复杂的功能,可以是使用data()方法
create()方法创建的数据对象是保存在内存中的,并没有写入到数据库中,要想写入数据库,还得通过add()或save()方法
注意,使用data()方法创建数据对象是不会进行自动验证和自动过滤的,可以手动处理。但是在进行add()或save()操作的时候,数据表中不存在的字段以及非法的数据类型(例如对象、数组等非标量数据)是会自动过滤的,所以不用担心非数据表字段的写入导致SQL错误!测试如下
说明,data()方法返回的是模型对象,并不像create()方法那样返回一个数组
可以看出在执行add()操作后,pwd并没有插入到数据库中,说明是被过滤掉了的
还有一点要注意,使用data()方法,是无法像create()那样自动根据$_POST来创建数据对象的,必须得手动将$_POST传入才行!测试如下
二、令牌验证
表单令牌验证功能,可以为表单的远程提交提供保护
1、相关配置
所谓表单验证,就是每次display操作时,ThinkPHP会自动在含有表单的模板中生成一个name为TOKEN_NAME、value为md5随机加密的值的隐藏域,并将这个md5随机加密值写入session中,服务器端在接收表单中的数据之前想通过将隐藏域传递过来value与session中的相关值进行比对,如果合法,则接收,否则不接受!
设想这样一种情形,如果某个用户非法将一个网站的表单提交页面copy到本地,然后在本地模拟恶意表单数据进行提交,那么该怎么防止?
有人可能会想到通过判断上级来源(即通过$_SERVER['HTTP_REFERER']判断),如果上级来源是本网站,则接收,否则不接收!但是可恨的是上级来源也可以被模拟
对于这种问题,ThinkPHP的令牌验证功能就能很好防止
特别强调一下,在每次display操作时都会生成新的令牌值,对于同步操作,提交表单后就跳转了,原先的表单模板页面也就是没了,那么如果想再回到表单模板页面,则需要服务display()一下,那么令牌值也就是更新了(但是,浏览器把表单模板页面缓存了这么办?---》解决方案,不让浏览器缓存,可以采用post方式或者在服务器端header("Cache-Control:no-cache");)!可是,如果是通过AJAX异步操作呢?且不说令牌更新问题,就连怎么把令牌传过去现在看来也成问题?
实际上,在服务器端对于每一个令牌值,只要验证过一次就会失效,所以即使你通过缓存页面再次发送了令牌,也是无法验证成功的!
2、{__TOKEN__}与{__NOTOKEN}
·{__TOKEN__}用于控制令牌隐藏域的位置,默认是在</form>之前
·{__NOTOKEN__}用于控制表单是否添加令牌隐藏域,即在开启令牌验证的情况下,如果希望个别表单模板不需要令牌验证功能,可以在该模板中加入{__NOTOKEN__}
·如果页面中存在多个表单,建议添加{__TOKEN__}表示
3、令牌验证分为两种
·create()方法的自动令牌验证,create()方法内置令牌验证功能
·调用模型的autoCheckToken()方法进行手工令牌验证,验证通过返回true,否则返回false。一般在使用data()方法创建数据对象时需要手工令牌验证,因为data()方法中没有进行令牌验证