我有一个带有用户表的应用程序,其中包含以下列:id|name|email|is_admin。我希望管理员能够将其他用户设置为管理员。
在models/User.php 中,我通过以下方式阻止批量分配:
protected $fillable = ['name', 'email'];
Laravel 4 Role Based Mass Assignment 的结论是 Laravel 没有这样的功能。
我的问题是,什么是可行的解决方法?如何只允许管理员更新数据库中的“is_admin”列?
【问题讨论】:
标签: php laravel laravel-4 roles mass-assignment
其实如下代码:
protected $fillable = ['name', 'email'];
将阻止Mass-Assignment,这意味着,有人不能使用这样的东西:
User::create(['name' => 'xxx', 'email' =>'x@mail.com', 'is_admin' => 1]);
在这种情况下,is_admin 字段不会更新,但仍然可以使用类似这样的方法(不是Mass Assignment)做同样的事情:
$user = User::find($id); // Or $user = new User; (when creating a new user);
$user->name = 'xxx';
$user->email = 'x@mail.com';
$user->is_admin = 1;
$user->save();
所以像这样更新User是没有问题的。
【讨论】:
扩展您的用户模型以创建一个没有批量分配保护的仅限管理员的版本。
在新类中,覆盖$fillable 属性:
class UnprotectedUser extends User
{
protected $fillable = [<all fields>];
}
然后在您的管理员特定代码中使用新模型:
$user = UnprotectedUser::create($arrayOfAllFields);
确保在尽可能多的地方使用原始类,以便您可以继续利用批量分配保护。
【讨论】: