1

我有一个包含各种表单元素的表单。在创建模式下,所有元素都必须可编辑,但在编辑模式下,我需要锁定某些元素。

我试图设置属性“只读”或“禁用”,它在浏览器视图中工作。但是当用户在 FireFox 或其他中使用 Webdeveloper 工具(Forms->Enable Form Fields)来操作 POST 请求时,这些值会从 zend 表单中被接受。

如何安全保护/锁定表单元素?

4

1 回答 1

0

只需不要使用您不需要的已发布数据修改您的实体/模型。对于这个东西,类似的功能$myModel->populate($request->getPost())可能不是最好的方法。而是给自己写一个函数,比如$myModel->populateForEdit($request->getPost())只修改允许在某个操作上修改的字段。

永远记住:任何用户都可以向您发送他想要的任何数据。在填充模型之前过滤数据由您决定!

于 2012-11-28T17:41:39.817 回答