20

根据http://laravel.com/docs/eloquent,可以通过在模型中使用受保护的 $hidden 变量来隐藏数组或 JSON 转换中的属性。

class User extends Eloquent {
    protected $hidden = array('password');
}

很好,但是在运行时print_r(User::all()),加密密码会在用户对象内从服务器发送到客户端。

这不仅限于 print_r(),如果查询特定用户,$user->password将在视图中显示加密密码。

有没有办法阻止这种情况?每次查询我的用户对象时,密码都会作为数据的一部分与它一起发送,即使它不需要这样做。

Illuminate\Database\Eloquent\Collection Object
(
[items:protected] => Array
    (
        [0] => User Object
            (
                [hidden:protected] => Array
                    (
                        [0] => password
                    )

                [connection:protected] => 
                [table:protected] => 
                [primaryKey:protected] => id
                [perPage:protected] => 15
                [incrementing] => 1
                [timestamps] => 1
                [attributes:protected] => Array
                    (
                        [id] => 1
                        [email] => admin@admin.com
                        [first_name] => Admin
                        [last_name] => User
                        [password] => $2y$10$7Wg2Wim9zHbtGQRAi0z6XeapJbAIoh4RhEnVXvdMtFnwcOh5g/W2a
                        [permissions] => 
                        [activated] => 1
                        [activation_code] => 
                        [activated_at] => 
                        [last_login] => 
                        [persist_code] => 
                        [reset_password_code] => 
                        [created_at] => 2013-09-26 10:24:23
                        [updated_at] => 2013-09-26 10:24:23
                    )
4

3 回答 3

37

运行时User::all(),它会返回一个 Collection 对象。此集合包含对象形式的所有用户。因此,您的用户将包含他们的密码。这样您就可以出于任何原因显示散列密码。但是,正如您之前所说,如果您将 Collection 或 Users 转换为数组或 JSON,如果隐藏,密码字段应该消失。

因此,如果您想摆脱它们,请尝试运行以下命令:

$array_of_users = Users::all()->toArray();
$json_of_users = Users::all()->toJson();

dd()这些都检查他们。密码字段将消失。

这在 Laravel 关于序列化的文档中有解释。

于 2013-09-26T21:46:45.797 回答
3

不,因为您不应该在生产中(或在现实世界中)做类似的事情。

用 Blade 编写的视图可以接收User::all()结果并对其进行处理,但那是 PHP(服务器),而不是 HTML(客户端),它会在将数据传递给客户端之前将其转换为 HTML。

所以这

print_r(User::all())

是你永远不会向用户展示的东西,它是我们用来调试的东西,但它真的没有任何意义。

但是,如果您有任何其他示例,当敏感数据可以通过视图传递给您的客户时,我们也可以讨论。

于 2013-09-26T16:50:42.297 回答
0

在 laravel 中,如果您在控制器中返回表示任何实体的任何模型对象,都将转换为 JSON。
这对于创建 API 很有用,并且隐藏字段有很大帮助

于 2016-07-03T05:27:25.207 回答