forigen鍵作爲模型上的防護屬性，Laravel 4.xx

Question

在Laravel模型上使用$guarded屬性時，最佳做法是始終包含任何關係外鍵，因此它們不能使用$model::create($data);語法進行批量分配？

例如我現在經常做到以下幾點：

class Application extends Eloquent { 

    protected $guarded = array('id','job_id','organisation_id','user_id'); 

     ... 

Answer 1

我認爲這是最好的做法一樣多，因爲它是模型的主鍵，因爲我們的目標是防止攻擊通過HTTP請求輸入數據時到模型中沒有檢查它是否包含「非法」鍵（這是大多數情況下通過質量分配完成的）。即使使用CSRF令牌和所有可能的預防措施，最終也不會信任HTTP請求輸入數據。