PHP：laravel中间件和控制器的请求参数传递与获取_资讯

PHP：laravel中间件和控制器的请求参数传递与获取

创始人

2024-04-06 14:10:40

0次

在这里插入图片描述

1、中间件和控制器测试

中间件

public function handle(Request $request, \Closure $next){// 设置参数$request->attributes->set('name', 'Tom');return $next($request);}
}

控制器中取值

public function index(Request $request): array{return ['name:input' => $request->input('name'),'name:get'   => $request->get('name')];}
}

请求提交参数

{"name":  "Jack"
}

返回参数

{"data": {"name:input": "Jack","name:get": "Tom"},"msg": "success","code": 0
}

2、安全隐患

目前看，都挺好的

如果中间件中没有设置参数，就会取到用户传递过来的参数

public function handle(Request $request, \Closure $next){// $request->attributes->set('name', 'Tom');return $next($request);}

如果用于安全性较高的场景，有点不适用

{"data": {"name:input": "Jack","name:get": "Jack"},"msg": "success","code": 0
}

假设，需要一个当前登录用户的id，假设是变量 current_login_user_id

如果我们没有加中间件，前端中接口中传递了这个参数，那么我们的代码将会出现安全隐患。

3、支持的传参方式

我们看下支持的传参方式

中间件

class TestMiddleware
{public function handle(Request $request, \Closure $next){$request->name = 'prototype_name';$request->attributes->set('name', 'attr_name');return $next($request);}
}

控制器

public function index(Request $request): array{return ['name:prototype'  => $request->name,'name:input' => $request->input('name'),'name:query' => $request->query('name'),'name:attr'   => $request->get('name')];}

请求

POST {{api_url}}/test?name=query_name
Content-Type: application/json; charset=utf-8{"name":  "post_name"
}

{"name:prototype": "prototype_name","name:input": "post_name","name:query": "query_name","name:attr": "attr_name"
}

如果取消中间件，发现数据并不是所期待的那样，取到null值

{"name:prototype": "post_name","name:input": "post_name","name:query": "query_name","name:attr": "query_name"
}

4、总结

综上，可以采用如下方式传递中间件参数到控制器是可行的

// 中间件设置值 设置为null，就算请求参数中携带了name, 也能取到null值
$request->attributes->set('name', null);// 控制器取值
$request->get('name')

看下get的实现代码

public function get(string $key, mixed $default = null): mixed{if ($this !== $result = $this->attributes->get($key, $this)) {return $result;}if ($this->query->has($key)) {return $this->query->all()[$key];}if ($this->request->has($key)) {return $this->request->all()[$key];}return $default;
}public function get(string $key, mixed $default = null): mixed
{return \array_key_exists($key, $this->parameters) ? $this->parameters[$key] : $default;
}

array_key_exists 意味着，如果设置了值，就会直接返回，不再往下查找其他值

5、一种更为安全的做法

一种更为安全的做法，是建立一个枚举变量，来替代字符串变量

const key = '192b9bdd22ab9ed4d12e236c78afcb9a393ec15f71bbf5dc987d54727823bcbf'// 就算没有设置值，也不会错误的从请求参数中获取值
$value = input->get(key)

利用Python，可以很容易生成这种很长的数字
Python编程：使用os.urandom生成Flask的秘钥SECRET_KEY

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇：去除有重复的行

下一篇：SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权