Валидатор 'safe'?

Question

[terkin]

недавно начал изучение Yii, и никак не могу понять значение этого валидатора, т.е в описании класса есть такое описание — Валидатор CSafeValidator помечает связанные атрибуты как безопасные так, что они могут быть присвоены пакетно.

Но мне к сожалению это не понятно, могли бы вы мне объяснить на пальцах, или на примерах когда нужно использовать этот тип валидатра.

Answer 1

[wartur]

www.yiiframework.com/doc/guide/1.1/ru/form.model

Все очень просто. Эта такая штука, которая позволяет понять фреймворку, что данный атрибут модели, пришедший из атрибутов (cmodel::attributes) является разрешенным к присвоению к атрибутам модели без валидации. Эту штуку надо юзать осторожно.

например $model->attributes = $_POST['Article'];

Comments

[terkin]

т.е что бы сделать такое присвоение мы в rules() должны сделать array('Article', 'safe'), а если этого не сделать? то Yii выдаст ошибку? или если сделать array('Article','required') то в чем будет разница?

[wartur]

Продолжение:
Допустим вот массив который пришел через POST

$_POST['Article']['save_attr'];
$_POST['Article']['unsave_attr'];
$_POST['Article']['int_attr'];

Вот правила валидации

    public function rules()
    {
        return array(
            array('save_attr', 'safe'),
            array('unsave_attr', 'unsafe'),
            array('int_attr', 'boolean'),
        );
    }

В результате safe_attr будет присвоен модели, unsafe_attr не будет присвоен, а int_attr будет присвоен и проверен, что это булен (то есть если там вдруг символьная строка, то будет ошибко).

[wartur]

т.е что бы сделать такое присвоение мы в rules() должны сделать array('Article', 'safe'), а если этого не сделать? то Yii выдаст ошибку? или если сделать array('Article','required') то в чем будет разница?

По умолчанию все параметры unsafe. То есть если вы явно не укажете, что данный аттрубут safe, то он будет тупо не присвоен модели. Если вы устанавливаете любое правило, то он автоматически становится safe.

Короче. Что бы было проще понять. Любой require, boolean etc типо включает в себя safe. Safe — это просто без аттрибут, который будет присвоен, но не будет проверен.

[terkin]

Вроде все понял, спасибо, можно одно финальное, так сказать контрольное уточнение, пусть через массив пришли все те данные что вы описали, а правила валидации такие
public function rules() { return array( array('save_attr', 'safe'), array('int_attr', 'boolean'), ); }
в итоге произойдет тоже самое?

[wartur]

habrahabr.ru/qa/24925/#answer_101499 ой

Answer 2

[wartur]

Да. Произойдет тоже самое.

И я еще вам очень сильно советую. не юзайте safe, его надо использовать тогда когда надо обработать с помощью before/afterValidate. А unsafe юзайте тогда, когда вам надо с одной стороны валидировать элемент перед записью, а с другой стораны не дать возможность записывать его через attributes.

Answer 3

[p4s8x]

Если вы попытаетесь присвоить unsafe то всеравно Cmodel->validate() вернет true, в логах будет Warning unsafe и данное свойство не будет присвоено — зачем?
1) В приложениях на Yii делают то, что называется massive assigment — $model->attributes = $_POST['User']
У модели есть системные свойства типа isNewRecord, primaryKey, scenario.
Если злоумышленник присвоит $_POST['User']['scenario'], то неизвестно что может произойти в приложении — это причина по которой вообще разделяют safe\unsafe.
2) Следующий вариант атаки — передать в пост запросе например $_POST['User']['is_admin']=1

когда нужно использовать этот тип валидатра.

Например для полей в mysql типа TEXT/LONGTEXT

Comments

[p4s8x]

Вот www.yiiframework.com/wiki/161/understanding-safe-validation-rules/

Answer 4

[Fredoss]

По-простому я бы написал ответ так: используйте валидатор safe, когда вам по фик, какое значение может принять валидируемый атрибут при массовом присвоении:)