PHP課件：第49講 ThinkPHP 表單令牌及字段映射

（第49講）ThinkPHP表單令牌及字段映射學(xué)習(xí)目標(biāo)①表單令牌的作用與實(shí)現(xiàn)②create方法③字段映射1 表單令牌的作用與實(shí)現(xiàn)

ThinkPHP內(nèi)置了表單令牌驗(yàn)證功能，可以有效防止表單的重復(fù)提交等安全防護(hù)。表單令牌驗(yàn)證相關(guān)的配置參數(shù)有：'TOKEN_ON'=>true,//是否開(kāi)啟令牌驗(yàn)證'TOKEN_NAME'=>'__hash__',//令牌驗(yàn)證的表單隱藏字段名稱(chēng)'TOKEN_TYPE'=>'md5',//令牌哈希驗(yàn)證規(guī)則默認(rèn)為MD5'TOKEN_RESET'=>true,//令牌驗(yàn)證出錯(cuò)后是否重置令牌默認(rèn)為true如果開(kāi)啟表單令牌驗(yàn)證功能，系統(tǒng)會(huì)自動(dòng)在帶有表單的模板文件里面自動(dòng)生成以TOKEN_NAME為名稱(chēng)的隱藏域，其值則是TOKEN_TYPE方式生成的哈希字符串，用于實(shí)現(xiàn)表單的自動(dòng)令牌驗(yàn)證。自動(dòng)生成的隱藏域位于表單Form結(jié)束標(biāo)志之前，如果希望自己控制隱藏域的位置，可以手動(dòng)在表單頁(yè)面添加{__TOKEN__}標(biāo)識(shí)，系統(tǒng)會(huì)在輸出模板的時(shí)候自動(dòng)替換。如果頁(yè)面中存在多個(gè)表單，建議添加{__TOKEN__}標(biāo)識(shí)，并確保只有一個(gè)表單需要令牌驗(yàn)證。（第49講）ThinkPHP表單令牌及字段映射1 表單令牌的作用與實(shí)現(xiàn)

如果個(gè)別頁(yè)面輸出不希望進(jìn)行表單令牌驗(yàn)證，可以在控制器中的輸出方法之前動(dòng)態(tài)關(guān)閉表單令牌驗(yàn)證，例如：C('TOKEN_ON',false);$this->display();模型類(lèi)在創(chuàng)建數(shù)據(jù)對(duì)象的同時(shí)會(huì)自動(dòng)進(jìn)行表單令牌驗(yàn)證操作，如果你沒(méi)有使用create方法創(chuàng)建數(shù)據(jù)對(duì)象的話(huà)，則需要手動(dòng)調(diào)用模型的autoCheckToken方法進(jìn)行表單令牌驗(yàn)證。如果返回false，則表示表單令牌驗(yàn)證錯(cuò)誤。例如：$User=M("User");//實(shí)例化User對(duì)象//手動(dòng)進(jìn)行令牌驗(yàn)證if(!$User->autoCheckToken($_POST)){//令牌驗(yàn)證錯(cuò)誤}（第49講）ThinkPHP表單令牌及字段映射2 create方法

步驟說(shuō)明返回1獲取數(shù)據(jù)源（默認(rèn)是POST數(shù)組）2驗(yàn)證數(shù)據(jù)源合法性（非數(shù)組或者對(duì)象會(huì)過(guò)濾）失敗則返回false3檢查字段映射4判斷提交狀態(tài)（新增或者編輯根據(jù)主鍵自動(dòng)判斷）5數(shù)據(jù)自動(dòng)驗(yàn)證失敗則返回false6表單令牌驗(yàn)證失敗則返回false

7表單數(shù)據(jù)賦值（過(guò)濾非法字段和字符串處理）8數(shù)據(jù)自動(dòng)完成9生成數(shù)據(jù)對(duì)象（保存在內(nèi)存）因此，我們熟悉的令牌驗(yàn)證、自動(dòng)驗(yàn)證和自動(dòng)完成（我們會(huì)在后面看到相關(guān)的用法）功能，其實(shí)都必須通過(guò)create方法才能生效。Create方法創(chuàng)建的數(shù)據(jù)對(duì)象是保存在內(nèi)存中，并沒(méi)有實(shí)際寫(xiě)入到數(shù)據(jù)庫(kù)中，直到使用add或者save方法才會(huì)真正寫(xiě)入數(shù)據(jù)庫(kù)。因此在沒(méi)有調(diào)用add或者save方法之前，我們都可以改變create方法創(chuàng)建的數(shù)據(jù)對(duì)象（第49講）ThinkPHP表單令牌及字段映射3 字段映射

ThinkPHP的字段映射功能可以讓你在表單中隱藏真正的數(shù)據(jù)表字段，而不用擔(dān)心放棄自動(dòng)創(chuàng)建表單對(duì)象的功能，假設(shè)我們的User表里面有username和email字段，我們需要映射成另外的字段，定義方式如下：ClassUserModelextendsModel{protected$_map=array('name'=>'username',//把表單中name映射到數(shù)據(jù)表的username字段'mail'=>'email',//把表單中的mail映射到數(shù)據(jù)表的email字段);}這樣，在表單里面就可以直接使用name和mail名稱(chēng)作為表單數(shù)據(jù)提交了。在保存的時(shí)候會(huì)字段轉(zhuǎn)換成定義的實(shí)際數(shù)據(jù)表字段。如果我們需要把數(shù)據(jù)庫(kù)中的數(shù)據(jù)顯示在表單中，并且也支持字段映射的話(huà)，需要對(duì)查詢(xún)的數(shù)據(jù)進(jìn)行一下處理，處理方式是調(diào)用Model類(lèi)的parseFieldsMap方法，例如：$User=M('User');//實(shí)例化User模型$data=$User->find(3);這個(gè)時(shí)候取出的data數(shù)據(jù)包含的是實(shí)際的username和email字段，為了方便便表單輸出，我們需要處理成字段映射顯示在表單中，就需要使用下面的代碼處理：$data=$User->parseFieldsMap(